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Einfuhrung 


o Einfuhrung 

Seit den „spateren“ Snowden-Veroffentlichungen wissen 
wir leider mit Sicherheit, dass die Geheimdienste NS A, 
GCHQ und weitere fur eine maCgeschneiderte Infiltra¬ 
tion unserer Rechner keine menschlichen Hacker mehr 
benotigen, sondern automatisiert mit dem Spionagepro- 
gramm Turbine 1 unbemerkt spezifische Schniiffel-Soft- 
ware auf unseren Rechnern installieren. 

Wir empfehlen angesichts dieser Angreifbarkeit iiber 
massenhaft infizierte Rechner, Tails als unveranderliches 
„Live-Betriebssystem ££ fur das Kommunizieren, die Re¬ 
cherche, das Bearbeiten und Veroffentlichen von sensib- 
len Dokumenten zu benutzen. Ein Live-Betriebssystem 
ist ein eigenstandiges Betriebssystem, was von DVD oder 
USB-Stick gestartet werden kann, ohne es zu installieren. 
Euer Standard-Betriebssystem auf der Festplatte wird 
nicht angefasst. 

Tails hilft bei der Bearbeitung von sensiblen Text-, Gra- 
fik- und Tondokumenten. Tails verwendet beim Surfen, 
Mailen und Chatten automatisch die Anonymisierungs- 
software „Tor“ und verandert zusatzlich die sogenannte 
„MAC-Adresse“ eurer Netzwerkkarte. Was das ist und 
wozu das von Nutzen ist, erklart euch die Einfuhrung 
dieser Anleitung. 

Tails hinterlasst bei richtiger Nutzung keine Spuren auf 
dem Rechner - eure Festplatte bleibt unberiihrt. Ein even- 
tuell (auf Betriebssystemebene) eingeschleuster Schad- 
code kann sich auf einer Live-DVD oder einem schreib- 
geschiitzten Live-USB-Stick 2 als Start-Medium nicht 
„festsetzen cc und euch beim nachsten Rechnerstart nicht 
mehr behelligen. Gegen eine Infiltration des Rechners 
fiber manipulierte Hardware oder das BIOS (=Basisbe- 
triebssystem eines Computers) ist mensch damit aller- 
dings nicht geschiitzt! 

Konkrete Blockade digital-totalitater Erfassung 

Wer sich gegen die Verletzung von Personlichkeitsrech- 
ten durch das Ausspionieren jeglicher Netzdaten, gegen 
DNA-Datenbanken und (Drohnen-)Kameraiiberwa- 
chung politisch aktiv zur Wehr setzt, sollte auch bei der 
Preisgabe seiner Alltagsdaten nicht nur sparsamer, son¬ 
dern vor allem strategisch (und damit ganz anders als iib- 
lich) vorgehen. 

Insbesondere das Zusammenfiihren unserer verschie- 
denen Aktivitaten, Interessen, Neigungen, Einkaufe, 


1 The Intercept, Glenn Greenwald, Ryan Gallagher, 12.3.2014 https:// 
firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-mil- 
lions - computers - malware/ 

2 USB-Sticks mit mechanischem Schreibschutzschalter sind leider 
nur selten im Offline-Handel erhaltlich. Hersteller solcher Sticks ist 
u.a. die Firma Trekstor. 


Kommunikationspartner*innen, (...) zu einer integra- 
len „Identitat“ ist die Grundlage fur die Machtigkeit von 
schniiffelnden Analysewerkzeugen - egal ob sie okono- 
misch-manipulativen oder repressiven Absichten ent- 
springen. Das im Folgenden beschriebene Live-Betriebs- 
system Tails hilft Nicht-Expert*innen, mit annehmbarem 
Aufwand dieses „integrale Ich“ auf unterschiedliche digi- 
tale Identitaten zu verteilen. Noch besser: Ihr nutzt mit 
mehreren vertrauenswiirdigen Personen einen gemeinsa- 
men Mail-, Chat-, Blog-, oder Forum-Account Orts-ano- 
nymisierend. Auch das erledigt Tails fiber die Anonymi- 
sierungssoftware Tor. 

Zur (Wieder-)Erlangung eines MindestmaBes an Privat- 
heit und Daten-Souveranitat raten wir dariiber hinaus 
zur Verschliisselung aller Inhalte, zum lokalen Speichern 
eurer Daten (ohne Cloud), zur Facebook-Verweigerung, 
zur gezielten Drosselung unserer Teilhabe am digitalen 
Dauersenden (das moglichst „unsmarte ££3 ! Mobiltelefon 
so oft es geht zu Hause lassen) und zum Offline-Einkauf 
mit Barzahlung. 

Im Netz moglichst wenig Spuren zu hinterlassen, muss zu 
den Grundfertigkeiten einer jeden Aktivist*in gehoren. 
Tor muss unser Standardwerkzeug werden und Tails hilft 
uns, (unter anderem) bei der Nutzung von Tor moglichst 
wenig Fehler zu machen. 

Verglichen mit dem, was wir an Selbstbestimmtheit be- 
reits verloren haben, ist der Aufwand fur ein abgeander- 
tes Alltagsverhalten minimal, auch wenn es vielen von 
uns „unbequem ££ erscheint. Die „bequeme ££ Alternative 
hingegen bedeutet Kontrollierbarkeit, Vorhersagbarkeit, 
Manipulierbarkeit und erhohtes Repressions-Risiko - es 
liegt an euch! 

Wozu ein Live-Betriebssystem 
(auf DVD Oder USB-Stick)? 

Die wichtigsten Griinde fur die Verwendung eines 
Live-Betriebssystems wie Tails sind dessen Vergesslichkeit 
und Unveranderbarkeit. 

Nach dem Herunterfahren des Rechners sind alle Daten, 
die ihr zuvor nicht explizit auf einen (externen) Datentra- 
ger gesichert habt, wieder weg. Der ohnehin vergessliche 
Arbeitsspeicher eures Rechners wird beim Herunterfah¬ 
ren zusatzlich mit Zufallszahlen iiberschrieben und die 
Festplatte bleibt von der Tails-Sitzung unberiihrt 3 4 : 

Keine Systemdateien, die verraten, welche USB-Sticks 
ihr benutzt habt, keine versteckten Riickstande eurer In- 
ternetrecherche, kein Hinweis auf „zuletzt bearbeitete ££ 
Dokumente, keine Uberbleibsel einer Bildbearbeitung 


3 Ein Mobiltelefon ohne WLAN und Bluetooth ist ein besserer 
Schutz. 

4 Es sei denn, ihr speichert explizit einzelne Dateien auf die interne 
Festplatte. Davon raten wir ab! 
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und vor allem auch keine Schad-/Schnuffelsoftware, die 
sich wahrend eurer Sitzung irgendwo in den Betriebs- 
systemdateien eingenistet haben konnte - alles weg nach 
Abschluss eurer Arbeit. Euer „normales“ Betriebssystem 
(auf der Festplatte) dieses Rechners bleibt unverandert. 
Der Rechner tragt auch keine Spur, die darauf hindeutet 
dass es diese Tails-Sitzung gegeben hat. 

Um bei sensibler Arbeit wirklich sicher zu gehen, dass tat- 
sachlich nichts zuriickbleibt, sollte sich das Tails Live-Be- 
triebssystem entweder auf einem unveranderlichen Da¬ 
tentrager befinden (z.B. eine gebrannte DVD oder ein 
USB-Stick mit mechanischem Schreibschutzschalter), 
oder aber (per Startoption toram 5 ) vollstandig in den Ar- 
beitsspeicher des Rechners geladen werden. Dann konnt 
ihr namlich den Datentrager, auf dem sich Tails befindet, 
nach dem Hochfahren des Rechners noch vor Arbeitsbe- 
ginn auswerfen/abziehen. 

Vorteile bei der Nutzung von Tails 

Bei Tails werden zudem alle Netzwerkverbindungen nach 
„drau6en“ liber eine fertig konfigurierte Top-Software ge- 
leitet 6 . Das heiBt, ihr habt weniger Moglichkeiten, liber 
eine falsche Einstellung von Tor , eure Identitat versehent- 
lich doch preiszugeben. Selbstverstandlich miisst ihr auch 
mit Tails wichtige Grundlagen fur die Top-N utzung 7 , wie 
z.B. den Unterschied zwischen Verschleierung der Iden¬ 
titat und Verschliisselung der Verbindung, beriicksichti- 
gen. Aber dazu spater mehr. Tails hat darliber hinaus viele 
sicherheitsrelevante Softwarepakete integriert und wird 
kontinuierlich gepflegt. Ihr diirff etwa alle zwei Monate 
mit einer neuen Tails-Version rechnen. 

Da Tails mittlerweile ein sehr umfangreiches und viel- 
seitig einsetzbares Live-System ist und die (derzeit nur 
in englischer und franzosischer Sprache vollstandige) 
Dokumentation auf der Webseite https://tails.boum.org 
entsprechend reichhaltig ist, versuchen wir hiermit eine 
verdichtete, aber trotzdem verstandliche Einfiihrung fur 
Computer-Nicht-ExperDinnen zur Verfligung zu stellen. 

Wir werden im Folgenden drei Nutzungsmodelle fur 
Tails beschreiben: 

a) Tails als System fur sensible Arbeiten auf einem 
Rechner mit Internetzugang 

Hier lernt ihr den Umgang mit den von Tails zur Verfli¬ 
gung gestellten Programmen. Die Verbindung zum Netz 
erledigt ein weitgehend automatisierter und einfach zu 
bedienender Netzwerk-Manager. Die Oberflache sieht 
sehr ahnlich aus wie bei eurem normalen Betriebssystem 
auf der Festplatte - egal ob ihr Windows, Mac-OS X oder 


5 siehe Kapitel Tails Starten 

6 Es sei denn, ihr wahlt explizit den unsicheren Internet Browser - 
ohne Tor. Davon raten wir dringend ab! 

7 https://tor.eff.org/download/download-easy.html.en#warning 


ein Linux-Betriebssystem nutzt, ihr werdet euch bei Tails 
schnell zurecht linden. 

b) Tails als „Quasi-Schreibmaschine“ fur hoch-sensib- 
le Arbeiten auf einem vollig abgeschotteten Rechner 
ohne Netz, bei dem Festplatte(n), WLAN- und Blue¬ 
tooth-Adapter ausgebaut sind. 

Hier lernt ihr den Umgang mit besonders sensiblen Do- 
kumenten. Das kann die Bearbeitung von Texten, Fotos, 
Tonaufnahmen oder die Erstellung ganzer Biicher sein. 
Hier darf nichts schief gehen. Deshalb raten wir in sol- 
chen Fallen zu einem Rechner mit beschrankten Fahig- 
keiten (keine Festplatte, keine Internetverbindung kein 
WLAN, kein Bluetooth), der euch zudem nicht personlich 
zugeordnet werden kann. 

c) Persistenz: Tails als Reise- und Alltagssystem 

In Erweiterung zur ersten Auflage dieses Heftes haben 
wir uns entschlossen, eine weitere Nutzungsmoglichkeit 
von Tails zu dokumentieren: Tails auf einem USB-Stick 
mit einer zusatzlichen (verschliisselten) Daten-Partition 8 , 
auf der Einstellungen, Mails, oder andere Daten dauerhaft 
gespeichert bleiben. In dieser Nutzungsart ist der Tails- 
Stick nicht mehr unveranderbar 9 und Tails nicht mehr 
vollstandig vergesslich. 

Im Vergleich zu a) und b) ist diese Nutzung also expli¬ 
zit unsicherer! Im Vergleich zu eurem Alltagsrechner auf 
der Festplatte aber in der Regel viel sicherer, denn Tails 
lenkt weiterhin jede Kommunikation mit der AuBenwelt 
sicher durch das Anonymisierungsnetz Tor. Wer also ei- 
nen Reiselaptop mit Netzzugang nutzt, aber z.B. seinen 
Aufenthaltsort beim Mailen und Chatten nicht verraten 
will, und dennoch bequemen Zugriff auf seine bisheri- 
gen Mails und Dokumente benotigt, der sollte Tails als 
sicherere Alternative zu einem Standard-Betriebssystem 
in Erwagung ziehen. Diese Methode beschreiben wir im 
Kapitel Persistenz. 


Systemvoraussetzungen und 
Betriebsarten von Tails 

Tails lauft auf den meisten Rechnern, die nach 2006 ge- 
baut wurden 10 . Ihr benotigt einen Rechner mit einem 
internen oder externen Laufwerk, das DVDs lesen und 
booten (=starten) kann, oder aber einen Rechner, der von 
einem USB-Stick oder einer SD-Karte booten kann. 

Zusatzlich sollte euer Rechner fur einen fehlerfreien Be- 
trieb liber einen Arbeitsspeicher (RAM) von mindestens 


8 Ein Datentrager kann in mehrere getrennte Partitionen aufgeteilt 
sein. 

9 Der Datentrager wird dazu ohne Schreibschutz genutzt! 

10 Auch noch altere Modelle konnen oftmals (mit Einschrankungen) 
fur Tails genutzt werden. 
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D T Nur iiber Tor ins Netz 


2 GB verfiigen 11 . Tails lauft auf alien herkommlichen PCs, 
nicht jedoch auf Smartphones (ARM-Prozessoren) oder 
PowerPCs (altere Apple-Rechner). 


Zumindest in zwei Fallen empfehlen wir Tails mit der 
Startoption toram zu benutzen. Dann wird das gesamte 
Betriebssystem von Tails mit alien Anwendungsprogram- 
men zu Beginn in den Arbeitsspeicher geladen. Dazu 
sollte euer Rechner fiber mindestens 2 GB Arbeitsspei¬ 
cher verfiigen. 

1) Wenn ihr einen Tails-USB-Stick ohne mechanischen 
Schreibschutzschalter oder eine Tails-SD-Karte 12 be- 
nutzt. Mit der Startoption toram konnen diese Daten- 
trager nach dem Start 13 von Tails entfernt werden noch 
bevor ihr mit der Arbeit beginnt. Damit sind diese Daten- 
trager vor einem eventuellen Angriff (eingeschleust fiber 
das Internet oder andere Datentrager) sicher. 


2) Wenn ihr eine Tails-DVD benutzt und in eurer Sitzung 
Daten auf CD oder DVD brennen wollt. Mit der Startop¬ 
tion toram kann die Tails-DVD nach dem Hochfahren 
des Rechners herausgenommen werden. Damit ist das 
Laufwerk wahrend der Sitzung frei. 


q Nur liber Tor ins Netz 

Wir gehen in diesem Kapitel darauf ein, wie Rechner im 
Netz kommunizieren, auf das Tor-P r inzip und dessen 
Nutzung sowie einige Fallstricke 14 . 


Identifizierung im Netz per IP- und MAC-Adresse 

Ein groBer Teil der digitale Kommunikation identifiziert 
die Kommunizierenden fiber die sogenannte IP (Internet 
Protocol)-Adresse. Ein Router , fiber den ihr ins Netz geht, 
bekommt diese IP-Adresse (z.B. 172.16.254.1) vom In- 
ternetanbieter zugewiesen. Die IP-Adresse wird bei jeder 
Netzaktivitat fiber ein standardisiertes Protokoll (lesbar) 
mitgeschickt. Euer surfen, chatten oder mailen ist (ohne 
Tor ) mit der Identitat und Lokalitat dieses Routers nach- 
vollziehbar verkniipft. 


11 Bei weniger als 2 GB Arbeitsspeicher kann der Rechner manchmal 
„einfrieren“. Der Grund dafiir liegt darin, dass Tails selbstverstandlich 
nicht auf die sogenannte Auslagerung-Partition (SWAP) der Festplatte 
zuriickgreifen darf: Ein Auslagern von Daten und Programmen auf die 
Festplatte wiirde ja nachvollziehbare Datenspuren hinterlassen! 

12 Der Schreibschutz von SD-Karten lasst sich software-seitig umge- 
hen und bietet daher keinen Schutz. Nur bei USB-Sticks wird der me- 
chanische Schreibschutzschalter tatsachlich „respektiert“. 

13 Sobald sich der Rechner (nach Boot- und Start-Bildschirm) mit 
der Tails-Arbeits-Oberflache meldet. 

14 https://tor.eff.org/download/download-easy.html.en#warning 


Wenn ihr keine zusdtzlichen Vorkehrungen 
trefft, verrdt die iibertragene IP-Adresse den 
geografischen Ort des Routers , iiber den ihr ins 
Netz geht. 


Zusatzlich besitzen alle Netzwerkadapter eine zusatzliche 
Kennung- die MAC-Adresse (z.B. B4:89:91:C1:F4:CE). 
Jede Netzwerkschnittstelle (z.B die WLAN-Karte oder 
das kabelgebundene LAN) eures Rechners meldet sich 
mit einer eigenen, eindeutigen (physikalischen) 
MAC-Adresse (Media-Access-Control) beim Router an. 
Beim aktuell (noch) verwendeten Internetprotokoll 
(ipv4) wird diese jedoch nicht „nach draufien iC (ins Netz) 
iibertragen 15 . 

Aber: Wenn ihr z.B. per WLAN in einem offentlichen 
Cafe ins Netz geht, kann der Betreiber oder ein Angreifer 
ohne technischen Aufwand eure MAC-Adresse mitpro- 
tokollieren. Damit ist dann eure Internet-Aktivitat nicht 
mehr nur dem WLAN-Router des Cafes sondern exakt 
dem von euch verwendeten WLAN-Adapter eures Com¬ 
puters zuzuordnen! Auch zu Hause kann ein Angreifer, 
der sich in euren Router hackt, unterscheiden welcher 
Rechner (z.B. in der WG) eine bestimmte Mail verschickt 
hat. Wir kommen gleich dazu, wie ihr euch gegen eine 
Identifikation per MAC-Adresse schiitzen konnt. 


Das 7b/?-Prinzip (The Onion Router) 

Statt in eurem Standard-Browser ( Firefox oder ahnliche) 
z.B. die Webseite http://tagesschau.de direkt zu besuchen 
und dieser beim Kontaktaufbau die IP-Adresse eures 
Routers mitzuteilen, geht ihr beim voreingestellten 
ToR-Browserv on Tails einen Umweg iiber drei Zwischen- 
stationen. Diese drei Rechner werden von der Tor- Soft¬ 
ware aus weltweit (derzeit) iiber 7000 verfugbaren 
Top-Rechnern zufallig ausgewahlt. 

Der Inhaber des Servers, auf dem die Zielwebseite liegt 
(oder ein dort mitlesender Schniiffler) erhalt nicht eure 
IP-Adresse, sondern die vom Top-Exit-Rechner 3 als 
Besucher-IP. Zwar ist erkennbar, dass es sich hierbei um 



MAC-Adresse in der IP mitkodiert werden. Das wiirde die Verschlei- 
erung des verwendeten Rechners gefahrden. Deshalb verwendet Tails 
diesen Protokollstandard nicht! 


























einen Rechner des ToR-Netzwerkes handelt (die Liste 
aller verfiigbaren ToR-Rechner ist offentlich einsehbar), 
aber eure Identitat ist nicht rekonstruierbar, es sei denn, 
der Inhalt eurer Kommunikation mit der Zielwebseite 
verrat euch (personliche Identifikation). Keiner der drei 
ToR-Rechner kennt den kompletten Pfad von eurem 
Rechner bis zum Zielserver. Nur ein Angreifer, der den 
Netzverkehr von ToR-Rechner 1 und 3 (aus derzeit iiber 
7000 moglichen) mitprotokolliert, kann eure IP mit dem 
Besuch der Ziel-Webseite in Verbindung bringen 16 . 


Nur iiber Tor ins Netz 



iiber dem Server offenbart - da hilft auch kein Tor. Aber 
ihr konnt auch in diesen Fallen Tor zur Verschleierung 
eures Aufenthaltsortes nutzen. Ein weiterer Anwen- 
dungsfall fur Tor ist das Erschweren von Zensur und 
Uberwachung euerer Netzwerkaktivitaten. 

Wir raten euch, IMMER per Tor ins Netz zu ge- 
hen und eure Netzaktivitaten entlang verschie- 
dener Identitaten „aufzutrennen“. 

j 


Verschleierung der Identitat bedeutet nicht 
automatisch Verschliisselung 

Die Verbindungen von eurem Rechner zum ToR-Rechner 
1, sowie 1—2 und 2—3 sind verschliisselt. Damit ist der 
Inhalt bei einem Schniiffel-Angriff auf diese Verbindun¬ 
gen, bzw auf die ToR-Rechner 1 und 2 nicht lesbar. Die 
Verbindung von 3—Ziel ist hingegen unverschlilsselt! 

Nur wenn Ihr eine Webseite beginnend mit HTTPS be- 
sucht wie z.B. https://linksunten.indymedia.org ist auch 
der Inhalt dieser letzten Verbindung verschliisselt 17 . Der 
Tor- Browser von Tails versucht immer eine HTTPS-Ver- 
bindung zum Ziel aufzubauen. Bietet der Webseiten- 
betreiber jedoch nur HTTP-Verbindungen an, ist eure 
Kommunikation mit diesem Server unverschliisselt und 
kann dort bzw. auf dem Tor- Exit-Rechner 3 oder dazwi- 
schen mitgelesen werden! 

Verschiedene Nutzungsmodelle von Tor 

Tor verschleiert eure IP-Adresse mit der ihr zum Surfen, 
Mailen oder Chatten mit anderen Servern Kontakt auf- 
nehmt. Einer der Zwecke von Tor liegt in der Verschleie¬ 
rung der eigenen Identitat. 

Als Besucher einer Webseite geht das, solange ihr dort 
keine Daten iiber euch preisgebt, oder spezifische Inhalte 
euch eindeutig identifizieren. Beim Mailen konnen euch 
Mail-Kontakte oder Mail-Betreffzeile leicht verraten, 
selbst wenn ihr peinlich genau darauf geachtet habt, dass 
(inklusive Account-Eroffnung) iiber die gesamte Historie 
der Account-Nutzung alles anonym ablief. 

Deshalb wird vielfach behauptet, dass Tor unsinnig ist 
wenn ihr euch personlich (ohne Pseudonym bei eurer 
Bank einloggt oder eine Mail von einer Adresse ver- 
schickt, die mit eurer Person eindeutig in Verbindung 
steht. Das stimmt nur zur Halfte. Richtig ist, dass ihr mit 
einem (realen) personlichen login eure Identitat gegen- 


16 Eine AngrifF iiber eine sogenannte Timestamp-Analyse kommt 
ohne Kenntnis des Datenverkehrs von 7o£-Rechner 2 aus. 

17 Beachte jedoch, dass die von https verwendete Transportver- 
schliisselung keine vergleichbar hohe Sicherheit bietet wie z.B. pgp. 
Ein starker Angreifer auf Geheimdienstniveau kann diese Verschliis- 
selung brechen. 


Identitaten sauber trennen 

Es ist nicht ratsam, in ein und derselben Tails-Sitzung, 
verschiedene Aufgaben im Internet zu erledigen, die 
nicht miteinander in Verbindung gebracht werden sollen. 
Ihr miisst selbst verschiedene (kontextuelle) Identitaten 
sorgsam voneinander trennen! 

Ein Beispiel: Es ist gefahrlich, in der gleichen Sitzung per 
Tor (ortsverschleiernd) die personlichen Mails abzuru- 
fen und anonym bei indymedia einen Text zu publizieren. 
Das heiBt, ihr solltet nicht gleichzeitig identifizierbar und 
anonym ins Tor-N etz. Ihr solltet auch nicht gleichzeitig 
unter Pseudonym A und Pseudonym B ins Tor -Netz ge- 
hen, denn diese Pseudonyme konnten auf einem iiber- 
wachten/korrumpierten ToR-Exit-Rechner 3 miteinan¬ 
der in Verbindung gebracht werden. 

Da ihr euch nicht in alien Fallen auf die Funktion „Neue 
Identitat u im Tor- Browser verlassen konnt, um die ver- 
schiedenen Netzaktivitaten (durch verschiedene IP-Ad- 
ressen der verschiedenen Tor- Exit-Rechner) vonein¬ 
ander zu separieren, lautet die unbequeme aber sichere 
Empfehlung: 

Tails zwischen Netzaktivitaten unterschiedli- 
cher Identitat herunterfahren und neu starten! 

Denn sogenannte cookies 18 , ein ToR-Anwendungsfehler 
eurerseits oder eine (noch nicht bekannte oder behobe- 
ne) Sicherheitsliicke in einem Programm innerhalb von 
Tails konnten Informationen iiber Eure Tails-Sitzung of- 
fenlegen. Diese konnten offenbaren, dass ein und diesel- 
be Person hinter den verschiedenen Netzaktivitaten der 
gleichen Tails-Sitzung (trotz wechselnder IP-Adresse des 
Tor- Exit-Rechners 3) steckt. 

Website Fingerprinting erschweren 

Wenn ihr eine Webseite fiber euren Browser anfordert 


18 Cookies sind kleine Dateien, die z.B. ein Webseitenbetreiber auf 
eurem Rechner als Webseitenbesucher zur Wiedererkennung von 
bestimmten Einstellungen ablegt. Tails untersagt das Speichern der 
meisten Cookie-Sorten. Andere, zugelassene Cookies verbleiben im 
fluchtigen Arbeitsspeicher und verschwinden bei einem Neustart. 










Nur iiber Tor ins Netz 


wird diese in kleinen Paketen, die sich durch eine be- 
stimmte Grofie und zeitliche Abfolge auszeichnen (und 
weiteren Charakteristiken), an euch iibertragen. Auch bei 
der Nutzung von Tor kann die Abfolge der iibertragenen 
Pakete analysiert und bestimmten Mustern zugeordnet 
werden. Die Muster konnen hier mit denen von iiber- 
wachten Seiten aus dem Netz abgeglichen werden. Um 
diese Analyse-Methode zu erschweren und eure Spuren 
zu verschleiern, hilft folgendes: Offnet vor dem Aufruf 
der gewiinschten Webseite diverse andere Seiten in wei¬ 
teren Tabs eures Browserfenster. Dadurch entsteht eine 
Menge von weiterem Traffic der die Analyse eures Mus¬ 
ters erschwert 19 . 

1st Tor noch sicher? 

Diese Frage scheint einfach, ist aber schwierig zu beant- 
worten, weil sie eine Angreifer*in mit einbezieht - wem 
gegeniiber ist Tor sicher? Eure Arbeitgeber*in wird Tor 
vermutlich nicht knacken konnen, das gleiche gilt wahr- 
scheinlich auch fur lokale und nationale Polizeibehorden. 
Bei Geheimdiensten sind wir mit Aussagen liber die Si- 
cherheit vorsichtiger. 

Es ist bekannt, dass Geheimdienste Tor attakieren um die 
Anonymitat der Nutzer*innen aufzuheben. Wir analysie- 
ren im Kapitel „Warnung: Grenzen von Tails“ verschiede- 
ne Angriffe auf Tor. Die bislang veroffentlichten „Ermitt- 
lungserfolge“ bei der Deanonymisierung beruhten auf 
Sicherheitsliicken der verwendeten Browser oder auf An- 
wenderfehlern, die es ermoglichten unterschiedliche 
Identitaten zu verkniipfen. Es sind auch Sicherheitsliicken 
im ToR-Protokoll gefunden und behoben worden - aller- 
dings ist nicht bekannt, ob diese Liicken zur Enttarnung 
einer User*in beigetragen haben. Es sei nochmal betont, 
dass Tor nur einen Teil des Datentransportes iibernimmt 
und das im konkreten Anwendungsfall immer noch wei- 
tere Software notig ist - zum Beispiel der Webbrowser 
oder aber auch das Betriebssystem - und dass es fur eine 
Angreifer*in einfacher sein kann diese Software anzu- 
greifen, als Tor zu knacken. 

Geheimdienste attackieren das ToR-Netzwerk, 
um die Anonymitat der ToR-Nutzer*innen zu 
brechen . Wir konnen die Effektivitdt von Tor 
nicht garantieren! 

j 

Wir wissen, dass es massive Anstrengungen von sehr star- 
ken Angreifer*innen (NSA, FBI) sogenannte ,,ToR-hid- 
den-services 4 zu „deanonymisieren 44 ; Tor kann namlich 
nicht nur User anonymisieren, sondern auch Server. Das 
ist zwar nicht die im Heft dargestellte Standard-Nutzung 
von Tor , sollte aber trotzdem ernst genommen werden, 
weil sich Forschungserfolge auf dem einen Gebiet ver¬ 
mutlich auf das andere iibertragen lassen. 


Absolute Sicherheit gibt es nicht und Tor ist zur Zeit das 
Beste, was es gibt, um die eigene Identitat zu schiitzen. 
Tor wird standig weiterentwickelt, um bekannt geworde- 
ne Schwachen zu beseitigen. Daher benutzt auf jeden Fall 
immer die neueste Tails-Version! 

Das Ergebnis bleibt leider unbefriedigend: Erst bei 
Kenntnis des Versagens des ToR-Netzwerks sind wir in 
der Lage, eine klare (negative) Aussage zu treffen - d.h. 
erst wenn das Kind in den Brunnen gefallen ist, konnen 
wir mit Sicherheit sagen, dass es so ist. Das bedeutet - 
ihr miisst bei der Bewertung etwaiger Konsequenzen von 
der Moglichkeit ausgehen, dass eure IP-Adresse einer Re¬ 
cherche oder einer Veroffentlichung zugeordnet werden 
konnte. Der Ort des Routers ware in einem solchen Fall 
enttarnt. Die durch Tails veranderte MAC-Adresse hilft 
euch zumindest zu verschleiern, welcher Rechner an dem 
dann enttarnten Router fur diese Netzaktivitat verant- 
wortlich sein soil (siehe nachstes Kapitel). 

Da niemand kategorisch ausschlieBen kann, dass auch 
diese zusatzliche Ebene der Verschleierung technisch 
durchbrochen werden konnte , solltet ihr zusatzlich auf fur 
euch kontrollierbare Sicherungsmethoden zuriickgreifen. 
Zu zwei dieser Methoden raten wir bei besonders sen- 
siblen Aktivitaten im Internet: Geht nicht von einem fur 
euch gewohnlichen Ort ins Netz und nutzt keinen Rech¬ 
ner, der euch zugeordnet werden kann (d.h. nicht libers 
Internet, sondern so anonym wie moglich offline besorgt). 

Damit ergeben sich dann folgende Sicherungsebenen zur 
Anonymisierung besonders sensibler Netzaktivitaten: 

1) Sichere Konfiguration der jeweiligen An- 
wendungsprogramme (in dieser Anleitung) 

2) Verschleierung der IP-Adresse per Tor 

3) Verschleierung der MAC-Adresse per Tails 

(siehe nachstes Kapitel) 

4) Netzzutritt an einem fur euch ungewohn- 
lichen Ort ohne Kameras, ohne euer Handy/ 
andere WLAN-, oder Bluetooth-Gerate 

5) Anonymer Kauf und versteckte Lagerung 
eines „Recherche-Computers w 

* 


19 http://arxiv.org/pdf/1512.00524vl.pdf 







Tails andert eure MAC-Adresse(n) 
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^ Tails andert eure MAC-Adresse(n) 

WLAN standig auf der Suche 
nach verfiigbaren Netzen 

Wenn Ihr mit angeschaltetem Laptop, Tablet oder Smart¬ 
phone bei aktiviertem WLAN 20 durch die Stadt geht, 
dann meldet sich eure WLAN-Karte mit ihrer MAC-Ad- 
resse bei alien WLAN-Routern in Funkreichweite. Und 
das ohne dass ihr im Netzwerk-Manager eine solche Ver- 
bindung aktiv auswahlt und herstellt! Die Router aller 
dort gelisteten WLAN-Netze der Umgebung haben eu- 
ren Computer bereits liber dessen WLAN-MAC-Adresse 
bei einer initialen BegriiCung identifiziert! Ihr hinterlasst 
also eine zuriickverfolgbare Spur, falls diese fliichtigen 
„Begru6ungen“ aufgezeichnet werden 21 . 

Im Falle eines Anwendungsfehlers oder sonstigen Tor-Pw- 
blems konnte ein Angreifer euren Rechner anhand der 
aufgezeichneten MAC-Adresse des WLANs identifizie- 
ren, sofern er sich Zugang zum Router verschafft, liber 
den ihr ins Netz gegangen seid. 


Zur zusdtzlichen Sicherheit ersetzt Tails vor 
der ersten Netzeinwahl (beim Start von Tails) 
die MAC-Adresse(n) aller im BIOS aktivierten 
Netzwerkadapter eures Rechners durch zufdllige 
Adressen. 


Es gibt allerdings Situationen, in denen das nicht funkti- 
oniert: Manche Netzwerke erlauben nur einer beschrank- 
ten Liste von voreingestellten MAC-Adressen den Zu¬ 
gang. Nur wenn Ihr glaubt, auf diese zusatzliche Sicherheit 
verzichten zu konnen, konnt ihr Tails neu starten und 
beim Tails-BegriiBungsfenster „Ja“ (fur weiter Optionen) 
anklicken und dann die (standardmaBig gesetzte) Option 
„Alle MAC-Adressen manipulieren ( abwahlen! Wir raten 
jedoch zugunsten eurer Anonymitat davon ab! 

Vorsicht beim UMTS-Stick 

Auch das ist ein eigenstandiger Netzwerkadapter, der so- 
mit auch eine eigene MAC-Adresse besitzt. Auch diese 
wird von Tails beim Start mit einer Zufallsadresse iiber- 
schrieben. Dennoch muss man hier auf die zusatzliche 
Sicherheit einer veranderten MAC-Adresse verzichten, 
da auch die eindeutige Identifikationsnummer eurer 

20 Das WLAN lasst sich bei TAILS wie bei alien Betriebssystemen 
iiber den Netzwerk-Manager an- und abschalten, sofern ihr es nicht 
im BIOS deaktiviert habt. 

21 In der Standard-Einstellung der Router werden solche Ereignisse 
nicht mitprotokolliert. Werbeanbieter*innen nutzen allerdings genau 
diese Moglichkeit, um potentielle Kund*innen vor dem Schaufenster 
oder im Laden zu identifizieren und ihre Verweildauer zu messen - 
mit ganz normaler Hardware! 


SIM-Karte (IMSI) und die eindeutige Seriennummer 
eures Sticks (IMEI) bei jeder Netzeinwahl an den Mobil- 
funkanbieter ilbertragen werden und eine Identification 
sowie eine geografische Lokalisierung ermoglichen. Der 
UMTS-Stick funktioniert wie ein Mobiltelefon! 

Wer nicht mochte, dass verschiedene Recherche-Sitzun- 
gen miteinander in Verbindung gebracht werden konnen, 
darf weder den UMTS-Stick noch die SIM-Karte mehr- 
mals benutzen! 22 


Fur sensible Recherchen oder Veroffentlichun- 
gen sind sowohl der UMTS-Stick als auch die 
SIM-Karte zu entsorgen . 


Andernfalls waren verschiedene Recherchen liber die 
gemeinsame IMEI oder die gemeinsame IMSI miteinan¬ 
der verknlipff. Der Austausch der SIM-Karte allein genilgt 
ausdrilcklich nicht! 

Wir legen euch einige weitere Anmerkungen zu den 
Grenzen von Tails (im Anhang) ans Herz! Nach diesen 
Vorliberlegungen und Warnungen zur Sicherheit im Netz 
wird es nun praktisch. 



Tails starten 


Wir gehen in diesem Kapitel davon aus, dass ihr einen 
aktuellen Tails-USB-Stick , eine Tails-SD-Karte oder eine 
Tails-DVD habt. Wie ihr das Tails-Live-System her- 
unterladen und uberpriifen! konnt, um ein solches 
Start-Medium zu erzeugen, beschreiben wir im Anhang 
dieser Anleitung. Wir gehen ebenfalls davon aus, dass 
euer Computer bereits so eingestellt ist, dass er von einem 
der drei Medien booten (=starten) kann. Auch diese mi¬ 
nimale Einstellung im BIOS ist im Anhang beschrieben. 


Tails booten 

Wenn ihr auf die Sicherheit durch die im vorigen Kapi¬ 
tel beschriebene Veranderung der MAC-Adresse eures 
WLANs setzen wollt, dann muss der Tails-Datentrager 
vor dem Start eingelegt/eingesteckt sein - andernfalls 
wiirde ein „Fehlstart“ mit eurem Standard-Betriebs- 
system euren Laptop per originaler MAC-Adresse eu¬ 
res WLANs in der Funkreichweite bekannt machen! 

Bei den meisten Computern geniigt es, beim wenige 
Sekunden spater erscheinenden Boot-Bildschirm die 
voreingestellte Auswahl Live mit der Enter-Taste zu be- 
statigen oder zehn Sekunden zu warten. Nur wenn Tails 
danach keine sichtbaren Startbemiihungen unternimmt, 
solltet ihr in einem neuen Start-Versuch die Option Tails 
(Troubleshooting Mode) auswahlen. 

22 Das gilt auch bei anonymem Erwerb von UMTS-Stick und 
SIM-Karte und deren anonymer Freischaltung. 












Tails starten 


Mac-Nutzer*innen miissen beim booten die Alt-Taste 
gedriickt halten und anschliefiend Tails als Startvolume 
auswahlen. 


Ein spezieller Recherche-Computer, aus dem ihr 
die Festplatte ausbaut und den ihr damit nurfiir 
Live-Systeme wie Tails nutzbar macht, lost das 
„Fehlstart (( -Problem und verhindert zudem ein 
„versehentliches“ Speichern von Daten auf Fest¬ 
platte! 


Zusatzliche Boot-Optionen 

Um (eine) zusatzliche Boot-Option(en) auszuwahlen, 
miisst ihr hingegen bei Erscheinen des Boot-Bildschirms 


1 . 


die Tabulator- Taste 



driicken und 


2. ein Leerzeichen eingeben. Dann die jeweilige(n) 
Boot-Option(en jeweils durch ein Leerzeichen ge- 
trennt) eingeben und mit Enter abschlieBen: 


Tails 

Tails (Troubleshooting Mode) 


> /lic*/<^nlinuz2 initrd=/l iw/initrd2. img boot=lic« config 1 ive-media=remouabl 
e apparmor=l security=apparmor nopersistence noprompt timezone=Etc/UTC block.e 
uents_dfl_poll_msecs=10OO splash noautologin module=Tails kaslr slab_nomerge s 
lub_debug=FZ mce=0 wsysca11=none quiet_ 


• toram - ladt Tails komplett in den Arbeitsspeicher 
(mindestens 2 GB). Empfehlenswert, wenn ihr a) 
eine SD-Karte oder einen USB-Stick ohne Schreib- 
schutzschalter als Tails-Boot-Medium verwendet 
oder b) eine Tails-DVD nutzt, das DVD-Laufwerk 
aber zum Brennen von Daten in der Sitzung beno- 
tigt. 

• truccrypt - diese Option gibt es wegen der Unsi- 
cherheit 23 von TrueCrypt seit Oktober 2014 nicht 
mehr! Ihr konnt lediglich noch TrueCrypt ver- 
schliisselte Daten entschlilsseln. Dazu braucht ihr 
aber keine Boot-Option angeben. Ihr miisst ledig- 
lich beim Tails-Startbildschirm ein Passwort fest- 
legen. Wie das geht, erlautert das nachste Kapitel. 
Alles weitere zum Thema TrueCrypt findet ihr im 
Kapitel „Daten verschlilsselt aujbewahren 


23 Die Bedenken gegen TrueCrypt sind im Kapitel Daten verschlilsselt 
aufbewahren nachzulesen. 


Tails-Startbildschirm 



Nach erfolgreichem Boot-Vorgang erscheint folgender 
Startbildschirm, bei dem ihr durch Auswahl der Option 
„Deutsch“ (links unten) auf eine deutsche Tastaturbele- 
gung und deutschsprachige Mentis umschalten konnt. 

Durch die Auswahl Ja und Vorwarts bei „weitere Optio- 
nen?“habt ihr folgende weitere Start-Optionen: 

Willkommen bei Tails 

Administrationspasswort Dokumentation 

Geben Sie ein Administrationspasswort ein, falls Sie administrative Aufgaben durchfiihren wollen. 

Andernfalls wird diese Funktion zur Erhohung der Sicherheit deaktiviert. 

Passwort: | 

Passwort erneut eingeben: 

Manipulation der MAC-Adresse Dokumentation 

Durch die Manipulation der MAC-Adresse kann die Seriennummer der eigenen Netzwerkkarte im lokalen 
Netzwerk verborgen werden. Dies hilft dabei, Ihren geografischen Standort geheim zu halten. 


Es ist grundsatzlich sicherer, MAC-Adressen zu manipulieren, aber es konnte auch Verdacht erregen oder 
Netzwerkverbindungsprobleme verursachen. 


Alle MAC-Adressen manipulieren 

Netzwerkeinstellungen 


Dokumentation 


Die Internet-Verbindung dieses Rechners ist frei von Hindernissen. Es kann sich direkt mit dem Tor- 
Netzwerk verbunden werden. 


Die Internet-Verbindung dieses Rechners ist zensiert, gefiltert oder vermittelt. Brucken-, Firewall- 
oder Vermittlungsserver-Einstellungen rniissen getroffen werden. 






Alle Netzwerkfunktionen deaktivieren 



Anmelden 


• Festlegen eines Administrations-Passworts - das 

benotigt ihr, wenn ihr fur ein Programm Administ- 
rator-Rechte braucht. Dies ist z.B. notwendig fur das 
Installieren eines Druckers oder den Zugriff auf die 
interne Festplatte des Rechners. Ihr konnt Euch im 
dann folgenden Dialog ein beliebiges Passwort aus- 
denken (und merken!). Es behalt seine Gultigkeit nur 
fur diese eine Tails-Sitzung. 

• Manipulation aller MAC-Adressen ausschalten 

Wenn der Netzzugang nur bestimmten Computern 
gewahrt wird und ihr auf die zusatzliche Sicherheit 





































einer geanderten MAC-Adresse verzichten konnt 24 , 
konnt ihr das standardmaCig gesetzte Hakchen weg- 
nehmen. 

• Alle Netzwerkfuktionen deaktivieren 

Hiermit bleiben alle Netzwerkadapter softwareseitig 
beim Start deaktiviert. Dies geschieht sinnvoller Wei- 
se bevor Tails seine Netzwerkfunktionalitat startet. So 
bleiben u.a. WLan und Bluetooth still und konnen 
eure Anwesenheit in Funkreichweite anderer Gerate 
nicht mehr preisgeben. (siehe dazu das Kapitel Tails 
als Quasi-Schreibmaschine). 

Nachdem ihr den Schalter Anmelden angeklickt habt, 
meldet sich Tails mit der grafischen Oberflache und den 
zwei Hauptmeniis Anwendungen, Orte. Damit Tails er- 
kennt, ob ihr eine veraltete Version benutzt, wird zu Be- 
ginn euerer Sitzung (nach erfolgreich hergestellter Netz- 
werk-Verbindung) einmal nach Hause telefoniert. Ihr 
werdet ggfs. aufgefordert, per Upgrade eine neue Version 
einzuspielen. Wie das geht, erlautern wir im Anhang im- 
Kapitel Tails-Installer bzw. Tails-Upgrader. 

Zur gleichzeitigen Arbeit mit mehreren Programmen 
sind vier Arbeitsflachen voreingestellt - damit es auf ei- 
nem kleinen Bildschirm nicht zu voll wird. Per linkem 
Mausklick auf das Bildschirm-Symbol unten rechts konnt 
ihr zwischen ihnen wechseln 25 . 


Datentrager werden nicht automatisch„geoffnet" 

Anders als ihr es gewohnt seid, wird ein eingelegter/einge- 
steckter externer Datentrager nicht automatisch geoffnet 
und damit verfiigbar gemacht. Ihr sollt damit (absicht- 
lich) die Kontrolle liber alle Datenorte behalten und nicht 
aus Versehen doch etwas auf die Festplatte speichern! 


Tails starten 


Alle Programme zu erlautern, erfordert viel zu viel Platz 
- selbst wenn wir nur deren grundlegende Handhabung 
beschreiben wiirden. Daher hier nur die Links zu Anlei- 
tungen fur die wichtigsten Tails-Programme: 


Surfen 

Tor- 

Browser 

https://tails.boum.org/doc/anony- 

mous_internet/Tor_Browser/index. 

en.html 

Mailen 

Icedove 

https://de.wikipedia.org/wiki/Mozil- 

lajlhunderbird 

Chatten 

Pidgin + 
OTR 

https://tails.boum.org/doc/anony- 
mous internet/pidgin/index.en.html 

Office 

LibreOffice 

http://wiki.ubuntuusers.de/LibreOffice 

Gemeinsames 

Schreiben 

Gobby 

https://gobby.github.io/ 

Layout+Satz 

Scribus 

http://www.scribus.net/ 

Videos abspielen 

Totem 

http://wiki.ubuntuusers.de/Totem 

Grafikbearbeitung 

Gimp 

http://wiki.ubuntuusers.de/GIMP 

Tonbearbeitung 

Audacity 

http://wiki.ubuntuusers.de/Audacity 

Videobearbeitung 

Pitivi 

http://wiki.ubuntuusers.de/PiTiVi 

Newsfeeds lesen 

Liferea 

http://wiki.ubuntuusers.de/Liferea 

Bitcoins 

Electrum 

https://tails.boum.org/doc/anony- 

mous_internet/electrum/index.en.html 

Anonymer Daten- 
austausch 

Onion- 

share 

https://onionshare.org/ 

Metadaten 

entfernen 

MAT 

https://mat.boum.org/ 

Datentrager 

uberschreiben 

Wipe 

http://wiki.ubuntuusers.de/wipe 

Drucken 

CUPS 

http://wiki.ubuntuusers.de/GNOME_ 

Druckerkonfiguration 

Scannen 

Simple 

scan 

http://wiki.ubuntuusers.de/Simp- 

le_Scan 

CD/DVD brennen 

Brasero 

http://wiki.ubuntuusers.de/Brasero 

Passwort- 

verwaltung 

KeepassX 

http://wiki.ubuntuusers.de/KeePassX 

Internet- 

verbindung 

Network- 

manager 

http://wiki.ubuntuusers.de/Network- 

Manager 


Datentrager werden erst iiber das aktive Anwdh- 
len (linker Mausklick) unter yy Orte ► Rechner <( in 
das System eingebunden. Vorher konnen von/auf 
ihm keine Daten gelesen!gespeichert werden. 

Bevor ihr den Datentrager nach fertiger Arbeit 
abziehen konnt , miisst ihr ihn unter yy Orte ► 
Rechner (( mit der rechten Maustaste anklicken 
und dann yy Laufwerk sicher entfernen ( wdhlen! 


Tails Programme 

Das Tails-Live-System ist eine Zusammenstellung von 
vielen Programmen auf der Basis eines Debian-Linux. 


24 Bitte lest dazu die Hinweise im Kapitel Tails andert eure MAC-Ad- 
resse. 

25 Der Wechsel zur jeweils nachsten Arbeitsflache rechts/links erfolgt 
auch iiber die Tastenkombination STRG + ALT + [Pfeiltaste hoch / 
runter] 


Netzwerkverbindung herstellen 

Tails sucht nach dem Start selbstandig nach verfiigbaren 
Netzwerkverbindungen. Wenn ihr beim Start von Tails 
ein Netzwerkkabel eingesteckt habt und euer LAN-Zu- 
gang nicht Passwort-geschiitzt ist, dann startet Tor auto¬ 
matisch. Der Aufbau eines Top-Netzwerks mit der dazu 
notwendigen Synchronisation der Systemzeit dauert eine 
Weile - bei Erfolg erscheint die Meldung, „Tor ist bereit. 
Sie haben jetzt Zugriff auf das Internet “ Ab jetzt werden 
alle Surf-, Chat-, Mail-Verbindungen durch das Top-Netz 
geleitet. 

Flir eine (in der Regel Passwort-gesicherte) WLAN-Ver- 
bindung konnt ihr den Netzwerkmanager in der oberen 
Kontrollleiste anklicken oder iiber das Menu Anwendun¬ 
gen ► Systemwerkzeuge ► Einstellungen ► Netzwerk und 
Verschliisselungsart auswahlen und dann das Passwort 
eingeben. 






























^SurfenUbeRT 



Surfen ilber Tor 


die Daten an den Zielort kopieren. Dazu eignet sich der 
Dateimanager unter Anwendungen ► Zubehor ► Dateien. 


Wenn der Netzwerkmanager von Tails eine Netz- 
werkverbindung hergestellt hat, konnt ihr den Tor- 
browser starten. Entweder per Klick auf das Symbol in 
der Kontrolleiste oben links, oder im Menu: 
Anwendungen ► Internet ► ToR-Browser. 


Skripte verbieten - NoScript 

Es gibt aktive Inhalte auf Webseiten, die eure Anonymi- 
tat gefahrden konnen. Oft nutzen Webseiten Javascript, 
Java-Applets, Cookies, eingebettete Flash- oder Quickti- 
me-Filmchen, PDF-Dokumente oder nachzuladende 
Schriften. Derartige aktive Webseiteninhalte konnen fiber 
einen so genannten „Finger-Print“ viele Einstellungen 
und Charakteristika eures Rechners ubertragen (Prozes- 
sor, Bildschirmauflosung, installierte Schriften, instal- 
lierte Plugins, etc.), sodass ihr im ungunstigen Fall doch 
identifizierbar seid 26 . Die Tor- Installation von Tails kiirn- 
mert sich um die Deaktivierung vieler dieser Inhalte. Wir 
empfehlen jedoch gleich zu Beginn eurer Netzaktivitaten 
eine noch restriktivere Einstellung in eurem Tor- Browser 
vorzunehmen: 

Mit dem NoScript-Button im ToR-Browser alle 

Skripte verbieten! 

d' 


sj Im voreingestellten Tor- Browser von Tails sind Skripte 
und Plugins zunachst erlaubt. 

® Mit der Option NoScript (Button in der Browser-Kont- 
rollleiste) verbietet ihr zunachst alle! Skripte und jeden 
Plugin-Code global. Empfehlenswert ist, Skripte bei den 
besuchten Webseiten (und ihren Unterseiten) jeweils erst 
dann zuzulassen, wenn es fur eure Aktivitat notwendig 
ist- wenn also etwas auf der jeweiligen Webseite „nicht 
wie gewohnt funktioniert“ Beachtet, dass ihr dadurch 
eure Anonymitat verlieren konnt! 

Im neuen Toi*-Browser konnt ihr fiber einen Klick auf 
die kleine grime Zwiebel in der Steuerleiste des Browsers 
das Sicherheitslevel anpassen. Hier stehen Euch vier Vor- 
einstellungen zur Verfugung. Auf dem niedrigsten Level 
funktionieren auch Seiten mit aktiven Inhalten. 


In Ausnahmefallen ohne Tor ins Netz ? 

Einige offentliche WLAN-Zugange in Cafes, Universita- 
ten, Buchereien, Hotels, Flughafen, etc. leiten Webseiten- 
anfragen um auf spezielle Portale, die ein login erfordern. 
Solche Zugange sind nicht fiber Tor erreichbar. 

Wir raten dringend von der Nutzung des Brows¬ 
ers ohne Tor ab! 

_ J 


Nur wenn ihr auf die Verschleierung eurer Identitat und 
auf die Verschleierung eures Standortes verzichten wollt 
und konnt, gibt es in Tails die Moglichkeit auch ohne! 
Tor ins Netz zu gehen. Bedenkt, dass euch alles was ihr 
damit „ansurff cc , zugeordnet werden kann. Ihr konnt den 
unsicheren Browser starten liber: 

Anwendungen ► Internet ► Unsicherer Browser. 

Auf keinen Fall solltet ihr diesen „nackten“ 
Browser parallel zum anonymen ToR-Browser 
nutzen . Das erhoht die Angreifbarkeit und die 
Verwechslungsgefahr mit eventuell katastropha- 
len Konsequenzen! 

_ J 


Daten verschlusselt aufbewahren 


Wie bereits erwahnt, Tails speichert nichts auf eurer Fest- 
platte, es sei denn, ihr verlangt dies explizit durch die 
Auswahl der Festplatte im Menu Orte ► [Name der Fest- 
platte]. Nach dem Ausschalten des Rechners gehen alle 
Daten verloren. Ihr solltet daher einen Daten-USB-Stick 
zur Aufbewahrung eurer Daten nutzen. Aus Sicherheits- 
griinden sollte dieser nicht identisch mit dem (moglichst 
schreibgeschutzten) Tails-Betriebssystem-Stick sein! 

Da wir grundsatzlich alle Daten verschlusselt aufbewah¬ 
ren, legen wir auf einem neuen Daten-USB-Stick eine ver- 
schlilsselte Partition an. Tails nutzt die Linux-Verschliis- 
selungssoftware dm-crypt. Ihr konnt die Daten dann auf 
alien Linux-Betriebssystemen entschlusseln. Ein Daten- 
austausch mit Windows- oder MAC OS X Betriebssys- 
temen ist damit allerdings nicht moglich! 


Download aus dem Netz 

Es ist kein Fehler, sondern Absicht, dass ihr fiber den 
Tbtfbrowser in Tails Dateien nur in das Verzeichnis Tor 
Browser (im Verzeichnis Personlicher Ordner) speichern 
diirft. Das bewahrt euch vor unbeabsichtigten Fehlspei- 
chern. Falls ihr Daten auf den Desktop oder einen Daten- 
trager speichern wollt, miisst ihr in einem zweiten Schritt 


26 https://panopticlick.eff.org/ 


Verschliisselte Partition auf einem 
Datentrageranlegen 27 

1 . Laufwerksverwaltung starten 

Anwendungen ► Hilfsprogramme ► Laufwerke 
Die Laufwerksverwaltung listet alle derzeit verfiig- 
baren Laufwerke und Datentrdger. 

27 Weiterfuhrende Infos: https://tails.boum.org/doc/encryption 
and_privacy/encrypted_volumes/index.en.html 













Daten verschliisselt aufbewahren 




2. Daten-USB-Stick identifizieren 

Wenn ihr jetzt den neu zu verschlilsselnden USB- 
Stick jetzt einsteckt, sollte ein neues „Gerat“ in der 
Liste auftauchen. Wenn ihr draufklickt seht ihr die 
Details des Datentragers. 




CD/DVD Drive 
HL-DT-ST DVD+/-RW GU40N 

7.8 GB Drive 
J TOSHIBA Trans Memory 


8.1 GB Drive 
Intenso Rainbow 


1.1 GB Loop Device 

i\i b/Uve/m o u nt/m e... Lesyst em .5 q u as hfs 


3. USB-Stick formatieren 

Uberpruft genau , ob ihr den richtigen Datentrager 
ausgewahlt habt (blau hinterlegt) - ob also die Be- 
schreibung (Marke, Name , Grofie) mit eurem Gerdt 
ubereinstimmt! Eine Verwechslung mit einem ande- 
ren Datentrager wird diesen loschen! Nur wenn al- 
les ubereinstimmt, klickt ihr auf den Button 0 
oben in der Menilleiste des Fensters. Im nun erschei- 
nenden Dialog „Laufwerk formatieren ( , konnt ihr 
die Voreinstellungen belassen und mit dem Button 
„Formatieren ( bestdtigen 28 . Alle existierenden 
Partitionen und damit alle Daten darauf gehen 
verloren! 


Partitionen auf dem USB-Stick Platz finden. Wir 
raten euch jedoch, sensible Datenprojekte nicht mit 
anderen Daten auf dem gleichen Stick zu speichern. 

. Typ: Hier wahlt ihr „Verschlusselt, kompatibel mit 
Linux-Systemen (LUKS+Ext4)“. 

• Name: Hier konnt ihr einen Namen fur den Da¬ 
tentrager wahlen, um ihn spater identifizieren zu 
konnen. Beachtet: Dieser Name ist fur alle lesbar! 

• Kennwort: Wahlt ein starkes Passwort. Das Pass- 
wort 29 sollte komplex genug sein, damit es nicht ge- 
knackt werden kann. Aber ihr miisst es euch auch 
merken konnen! Dann auf Erstellen klicken. Dieser 
Prozess kann eine Weile dauern. Wenn die Fort- 
schrittsanzeige erlischt, seid ihr fertig. 

Volumes 



Device /dev/sdbl 
Partition Type Linux 

Contents LUKS Encryption (version 1) — UnLocked 


Ihr werdet erneut aufgefordert dies zu bestdtigen. 

Sind Sie sicher, dass das Laufwerk formatiert werden soil? 

Ip 

Dieser Vorgang betrifft das Laufwerk 
»TrekStor TrekStor USB CS« (TrekStor 
TrekStor USB CS) 

| Abbrechen j | Formatieren j 

4. Eine verschlusselte Partition erzeugen 

Jetzt zeigt das Fenster einen leeren Datentrager. 

Volumes 



Size 8.1GB (8,086,618,112 bytes) 
Device /dev/sdb 
Contents Unallocated Space 


Klickt nun auf den Button + Partition erstellen. 

Es erscheint ein Menu partition erstellen \ in dem 
ihr die neue Partition festlegen konnt. 

• Grofie: Ihr konnt die Grofie der zu verschliisseln- 
den Partition auch verkleinern, damit noch andere 


28 Falls sich auf dem Datentrager andere (zu loschende) Daten befin- 
den, solltet ihr die Option „Vorhandene Daten mit Nullen iiberschrei- 
ben (langsam)“ wahlen. 


Verschlusselte Partition offnen 

Wenn ihr einen verschliisselten USB-Stick einsteckt, wird 
er (wie alle Datentrager) in Tails nicht automatisch geoff- 


net, sondern erst wenn 

ihr ihn 

im Menii Orte anwahlt. 
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Ihr werdet aufgefordert, das Passwort einzugeben: 




Geben Sie ein Passwort zum Entsperren des 
Datentragers ein. 

Das Gerat »TrekStor TrekStor USB CS« enthalt 
verschlusselte Daten auf Partition 1. 

Passwort: ( ] 

® Passwort sofort vergessen 
O Passwort erst beim Abmelden vergessen 
O Nie vergessen 

j Abbrechen | Verbinden 


29 Hinweise zu einem sicheren Passwort im Anhang. 




























Daten verschliisselt aufbewahren 


Wenn es das richtige Passwort ist, dann wird die Partiti¬ 
on im Datei-Manager wie ein Datentrager mit dem von 
euch gewahlten Namen angezeigt. Ihr konnt nun Dateien 
hinein kopieren oder sonstige Dateioperationen durch- 
fiihren. 



datenl - Datei-Browser 

Datei Bearbeiten Ansicht Gehe zu Lesezeichen Hilfe 

yVor v ^ ^ ■ S 100% © 

Ortev x (V [E datenl 

(g) amnesia 
(js) Arbeitsflache 

O Dateisystem 

Sal Netzwerk 

- lAl 

K 

lost+found 

9 datenl 


y 255 MB Dateis... 
0 64 GB Physikali... 
S Mull 


Bevor ihr den Datentrager nach fertiger Arbeit abziehen 
konnt, miisst ihr ihn unter Orte ► Rechner mit der rechten 
Maustaste anklicken und dann Auswerfen wahlen! 

Bedenken gegen TrueCrypt und VeraCrypt 

Obwohl die betriebssystem-unabhangige Alternative 
TrueCrypt auf freier Software basiert, gibt es starke Be¬ 
denken bezuglich deren Sicherheit - nicht nur wegen 
nicht mehr erfolgter Updates, sondern auch wegen der 
„geschlossenen“ Entwicklung und der damit erschwerten 
Nachvollziehbarkeit fur kritisch priifende Sicherheits- 
fans 30 . Die im Mai 2014 erschienene letzte TrueCrypt-Ver¬ 
sion wird von den Entwickler*innen selbst als nicht si- 
cher(!) eingestuft und erlaubt nur noch das Entschliisseln 
bereits vorhandener TrueCrypt-Container. 

Aus diesen Grunden rat Tails von dessen Nutzung drin- 
gend ab. Tails ermoglicht den Nutzer*innen seit Oktober 
2014 lediglich das Entschliisseln von TrueCrypt-verschlus- 
selter Dateien bzw. Datentrager. Ein Verschliisseln mit 
TrueCrypt ist nicht mehr moglich. 

Um nicht in die missliche Lage zu kommen, irgendwann 
die alten Datentrager nicht mehr entschliisseln zu konnen, 
raten wir, zu sichernde TrueCrypt-verschlusselte Inhalte 
zu entschliisseln und umzukopieren auf dm-crypt-ve r- 
schliisselte Datentrager (erster Abschnitt dieses Kapitels). 

Veracrypt ist eine Weiterentwicklung von TrueCrypt. Die 
Software basiert teilweise auf den gleichen alten Biblio- 
theken, von denen bekannt ist, dass sie Sicherheitsliicken 
haben, und ist deshalb zur Zeit als unsicher einzustufen 31 . 
Wir gehen allerdings davon aus, dass sich dieser Zustand 
andern wird, weil an der Software aktiv gearbeitet wird 32 . 

Veracrypt ist nicht Bestandteil von Tails, wir erwahnen 

30 Es wurde bislang keine „Hintertur“ in TrueCrypt entdeckt. Das 
Zwischenfazit einer fortdauernden, unabhangigen Quellcode-Uber- 
priifung vom April 2014 findet ihr hier: -> Open Crypto Audit Project: 
TrueCrypt Security Assessment 

31 https://ostif.org/wp-content/uploads/2016/10/VeraCrypt-Au- 
dit-Final-for-Public-Release.pdf 

32 https://github.eom/veracrypt/VeraCrypt/issues/l 10 


es der Vollstandigkeit halber und weil es das einzige uns 
bekannte Tool ist, das betriebssystem-iibergreifend ein- 
setzbar ist. 

TrueCrypt entschliisseln 

Solltet ihr trotz der zuvor dargelegten Bedenken 
TrueCrypt-Partitionen (Volumes) oder -Dateien (Con¬ 
tainer) zum betriebssystem-ubergreifenden Datenaus- 
tausch verwenden, bietet dm-crypt nur noch Moglichkeit 
zum Lesen der Partition bzw. des Datei-Containers. Dazu 
gibt es jedoch kein Programm mit einer grafischen Ober- 
flache. Ihr miisst ein sogenanntes Root-Terminal iiber An- 
wendungen ► Systemwerkzeuge ► Root-Terminal offnen 
(dazu miisst ihr beim Tails-Startbildschirm ein Passwort 
festlegen) und dann einige Linux-Kommandos eingeben. 
Die Anleitung dazu findet ihr in der Tails-Dokumentati- 
on unter Opening TrueCrypt volumes using cryptsetup 33 . 

Identifikation von externen Datentragern 

Jeder externe Datentrager (Festplatte , USB-Stick oder 
SD-Karte) wird von der Laufwerksverwaltung des Be- 
triebssystems (Linux, Windows und auch MAC OS X) 
identifiziert und registriert. Die Nutzung eines solchen 
Datentragers unter Tails hinterlasst KEINE Spuren, da 
alle Protokoll-Dateien beim Ausschalten des Rechners 
aus dem (fliichtigen) Arbeitsspeicher verschwinden und 
dieser zusatzlich mit Zufallszahlen iiberschrieben wird, 
aber: 

Wenn ihr einen Datentrager (auch) an einem 
Rechner OHNE Tails benutzt, dann wird sich die¬ 
ser Rechner iiber eine eindeutige Identifikations- 
nummer an diesen Datentrager „erinnern“. 


Bei einer Beschlagnahmung des Rechners bzw. einer 
feindlichen Ubernahme lasst sich damit nachvollziehen, 
dass und wann z.B. ein bestimmter USB-Stick zum Ein- 
satz kam 34 . Die eindeutig identifizierbaren Spuren in den 
System-Protokolldateien „verbinden £C also euren USB- 
Stick mit alien Rechnern in denen er jemals gesteckt hat. 
Wir erzahlen das, weil wir damit deutlich machen moch- 
ten: 

Datentrager, die zum Speichern eines sensiblen 
Dokuments benutzt wurden, miissen ( z.B . nach 
dessen Veroffentlichung) vollstdndig gelbscht und 
vernichtet werden . 

J 

Wie das geht, erfahrt ihr im nachsten Kapitel. 


33 Aktuell zu linden unter: https://tails.boum.org/doc/encryption_ 
and_privacy/truecrypt/index, de.html 

34 Umgekehrt gilt das nicht: Ein (nicht gehackter) USB-Stick merkt 
sich nicht, in welche Rechner er gesteckt wurde. 



















Daten loschen 


Daten loschen 

Es ist leider sehr kompliziert, einmal erzeugte Daten ri¬ 
cher" loszuwerden. Alle wissen vermutlich, dass es mit 
dem normalen Loschen einer Datei nicht getan ist - die 
Datei bleibt vollstandig erhalten, ihr Name wird lediglich 
aus der Liste verfugbarer Dateien auf diesem Datentra- 
ger ausgetragen. Der belegte Platz wird freigegeben, aber 
nicht iiberschrieben. 

Leider fuhren aber auch Software-Techniken, die einzel- 
ne Bereiche eines Datentragers mit verschiedenen Da- 
tenmustern mehrfach uberschreiben, z.B. bei USB-Sticks 
nicht zum gewiinschten Ergebnis! Fur Ungeduldige auch 
hier gleich das Ergebnis unser Ausfuhrungen vorweg: 

Die sicherste Variante ist, Daten nur (tempordr) 
im Arbeitsspeicher zu halten! 

Wenn Daten dauerhaft gesichert werden miissen, 
dann muss es a) ein externer Datentrdger sein 
und dieser muss b) komplett verschliisselt sein. 

Ein sicher verschliisselter Datentrdger ist der beste 
Schutzgegen (lesbare) Uberreste. 

Loschprogramme wie z.B. wipe funktionieren 
auf Flash-Medien (USB-Sticks, SD-Karten, SSD, 
etc) nicht zuverlassig. Selbst wenn das Medium 
als Ganzes iiberschrieben wird, konnen Reste zu- 
riickbleiben. Deshalb d) zerstoren wir Medien mit 
hochsensiblen Inhalten zusatzlich. 

Probleme beim Uberschreiben von Datentragern 

Physikalische Eigenschaften der Datentrager erlauben es, 
den ehemaligen Inhalt einer iiberschriebenen Speicher- 
stelle zu rekonstruieren. Wir ersparen euch hier Details 
und erlautern lieber, warum es dabei weniger um die An- 
zahl der Uberschreibvorgange geht! 

Bei magnetischen Festplatten gibt es das Problem, 
dass defekte Sektoren (=Speicherbereiche) von der 
Festplattensteuerung aussortiert werden und ehemals 
dort gespeicherte Daten umkopiert werden. Ein Uber- 
schreib-Programm zum „sicheren“ Loschen hat dann 
auch keinen Zugriff mehr auf diese defekten Sektoren. Im 
Forensik-Labor hingegen lassen sich diese Bereiche ausle- 
sen - mit unter Umstanden fatalen Folgen fur euch. 

Bei sogenannten Flash-Speichermedien, wie z.B. USB- 
Sticks, SD-Karten, CompactFlash-Karten und die 
neueren SSD-Festplatten (Solid-State-Disks) ist dieses 
Problem des internen Umkopierens (auBerhalb der Kon- 
trolle des Anwenders) wegen der besonders hohen Feh- 
leranfalligkeit des Speichers kein Ausnahmefall, sondern 
die Regel 35 . Eine Uberschreibeprozedur zum „sicheren“ 


35 Zur ausgewogenen Belastung der Speicherstellen werden Bereiche 


Loschen einzelner Dateien „erwischt“ dann nur eine von 
mehreren Kopien. Eine der neueren Forschungsarbeiten 
bescheinigt samtlichen Software-Loschtechniken, dass sie 
angewendet auf Flash-Speicher selbst beim Uberschrei¬ 
ben des gesamten Speichermediums nur unzuverlassig 
funktionieren 36 . Das sichere Loschen von einzelnen Da¬ 
teien hingegen gelang mit keinem der getesteten Pro¬ 
gramme! 

Mit diesen Einschrankungen (als dringliche Warnung) 
zeigen wir euch, wie ihr bei Tails die Loschroutine wipe 

zum Uberschreiben des gesamten Datentragers nutzen 
konnt: 

1. Datentrdger im Dateimanager auswdhlen: Orte ► 
(Name des Datentragers) 

2. Im Dateimanager bei Ansicht ► Verborgene Datei¬ 
en anzeigen ein Hdkchen setzen 

3. Alle Ordner und Dateien markieren 

4. (rechter Mausklick) ► wipe / Sicher loschen 
(Die Dateien sindfiir euch unwiderruflich weg!) 

5. Im (danach leeren) Feld dieses Datentragers: 
(rechter Mausklick) ► wipe available diskspace / Si- 
cheres Loschen des verfiigbaren Fesplattenspeichers 

6. Drei Durchldufe bei zweifachem Uberschreiben 
(also sechsfach) geniigen bei neueren Datentrd- 
gern - bei Unsicherheit und bei alten Festplatten 
konnt ihr 38-faches Uberschreiben wdhlen. 

7. Warten - je nach Grofie des Datentragers einige 
Minuten bis viele Stunden. 


Datentrager vernichten 

Gerade wegen der Unzulanglichkeit vieler Soft- 
ware-Loschtechniken und der weitgehenden Moglichkei- 
ten von forensischer Daten-Wiederherstellung solltet ihr 
sensible Datentrager lieber zusatzlich zerstoren. Auch das 
ist leider problematischer als gedacht - optische Medien 
sind am einfachsten zu zerstoren. 


standig umkopiert. Mehr als zehn versteckte Kopien einer Datei sind 
keine Seltenheit bei Flash-Speicher. 

36 Michael Weie et. al.: „Reliably Erasing Data From Flash-Based So¬ 
lid State Drives 1 9th USENIX Conference on File and Storage Tech¬ 
nologies. „For sanitizing entire disks, built-in sanitize commands are 
effective when implemented correctly, and software techniques work 
most, but not all, of the time. We found that none of the available soft¬ 
ware techniques for sanitizing individual files were effective." http:// 
static.usenix.org/event/fastll/tech/full_papers/Wei.pdf 









Metadaten entfernen 


\ x Magnetische Festplatten sind sehr schwer zu zer¬ 
storen. Ihr konnt sie nicht einfach ins Feuer werfen. 
Die Temperaturen, die ihr damit an den Daten-tragenden 
Scheiben (Aluminium mit Schmelzpunkt 660°C oder 
Glas wird zahfliissig >1000°C) erreicht, ermoglichen ge- 
rade mal eine leichte Verformung. Ein Aufschrauben des 
Gehauses und der Ausbau der Scheiben ist mindestens 
notwendig, um mit einem Lotbrenner an der Scheibe 
selbst hohere Temperaturen zu erzeugen. Ein Camping- 
gas-Lotbrenner reicht dazu jedoch nicht aus. Ihr benotigt 
hierfur Thermit , ein Pulver, das in einer aus Ziegelsteinen 
improvisierten „Brennkammer“ 2300°C heiC brennt und 
die Scheiben verfliissigt. Die Handhabung erfordert aller- 
dings einige VorsichtsmaBnahmen! 37 Wem das zu viel 
Aufwand ist, der sollte zumindest die ausgebauten Schei¬ 
ben der Festplatte in kleine Stucke brechen und an meh- 
reren Orten verteilt entsorgen (Achtung - Splittergefahr!). 
Wegen der hohen Datendichte konnten Forensiker darauf 
jedoch noch reichlich Datenfragmente linden! Alternativ 
konnt ihr die Oberflache, der einzelnen Scheiben mit ei¬ 
ner Bohrmaschine und Drahtbiirstenaufsatz abschleifen. 


Flash-Speicher (USB-Sticks, SSD, SD-Karten, ... ) 
lasst sich ebenfalls nur unvollstandig zerstoren. Mit 
zwei Zangen konnt Ihr die Platine aus dem Gehause her- 
ausbrechen, um dann die Speicherchips samt Platine ein- 
zeln in Stucke zu brechen und in die Flamme eines Cam- 
pinggas-Lotbrenner zu halten. Ihr erreicht auch hierbei 
nur eine partielle Zersetzung des Transistor-Materials. 
Vorsicht - Atemschutz oder Abstand! Die Dampfe sind 
ungesund. 


Optische Medien (CD, DVD, Blueray) lassen sich 
mit geniigend groBer Hitze vollstandig und unwi- 
derruflich zerstoren. Das Tragermaterial Polycarbonat 
schmilzt bei 230°C (Deformation). Die Zersetzung ge- 
lingt bei 400°C und bei 520°C brennt es. Ein Camping- 
gas-Lotbrenner reicht aus, die Scheiben aus Polycarbonat, 
einer dunnen Aluminiumschicht und einer Lackschicht 
zu Klump zu schmelzen oder gar zu verbrennen. Vorsicht 
- Atemschutz oder Abstand! Die Dampfe sind ungesund. 
Alternative ist die Zerstorung des Datentragers in der Mi- 
krowelle (wenige Sekunden auf hochster Stufe) 


Metadaten entfernen 

Die meisten von euch kennen das Problem bei Fotos von 
Aktionen. Bevor diese veroffentlicht werden konnen, 
miissen nicht nur Gesichter unkenntlich gemacht wer¬ 
den 38 , sondern auch die sogenannten Metadaten entfernt 
werden, die im Bild mit abgelegt sind und die Kamera, 
mit der das Bild aufgenommen wurde, eindeutig identi- 

37 frank.geekheim.de/?p=2423 

38 Zur Grafikbearbeitung konnt ihr das Programm GIMP verwenden. 


fizieren. Neben der Uhrzeit und der Seriennummer sind 
bei einigen neueren Kameras (insbesondere Smartpho¬ 
nes) sogar die GPS-Koordinaten in diesen sogenannten 
EXIF- Daten abgespeichert. Ein sogenanntes Thumbnail 
(Vorschau-Foto im Kleinformat) kann Bilddetails preis- 
geben, die ihr im eigentlichen Bild verpixelt oder ander- 
weitig unkenntlich gemacht habt. Diese Metadaten miis- 
sen entfernt werden! 

Leider tragen z.B. auch LibreOfbce-/Worddokumente 
und PDF-Dateien Metadaten in sich. Anwendername, 
Computer, Schriftarten, Namen und Verzeichnisorte ein- 
gebundener Bilder, ... lassen Ruckschliisse auf euch bzw. 
euren Rechner zu. 


Tails hat dazu eine umfassende Reinigungssoftware an 
Bord. Das Metadata Anonymisation Toolkit (MAT) 39 
kann folgende Datentypen saubern: PNG- und JPEG- Bil¬ 
der, PDF- Dokumente , LibreOffice und Microsoft Of¬ 
fice Dokumente, MP3 und FLAC (Audio-) Dateien und 
TAR- Archivdateien. 


Anwendungen ► Systemwerkzeuge ► MAT (Metadata An¬ 
onymisation Toolkit) 


Das Programm ist nahezu selbsterklarend: 


# 


Offnet ein Dateimanager-Fenster, uber das ihr die zu 
checkenden / saubernden Dateien hinzufiigen konnt. 


^ Uberpriift, ob die angewahlten Dateien sauber oder 
^ dreckig sind. 


Die angewahlten Dateien werden bereinigt und unter 
dem gleichen Namen wie die Originaldatei abgelegt. 
Ihr konnt dieses Werkzeug auch auf ganze Ordner an- 
wenden. Bedenkt, dass die zusatzlich erzeugte Original¬ 
datei mit dem Namens-Zusatz .bak auch nach dessen Lo- 
schen AUF DIESEM DATENTRAGER immer noch 
rekonstruierbar ist! 


Es hat sich herausgestellt, dass MAT Metadaten aus 
pdf-Dateien nicht zuverlassig entfernt. Aus diesem Grund 
unterstiitzt MAT das pdf-Format nicht mehr. 

Zur Zeit wird die Entwicklung von MAT nur sporadisch 
fortgefuhrt. Der Entwickler empfiehlt, die Benutzung zu 
vermeiden und statt dessen auf andere Programme wie 
exiftool (umfangreiches Bereinigungstool), exiv2 (loscht 
Metadaten aus Bildern), fhead (manipuliert Header in 
jpgs) oder pdfparanoia (bereinigt Wasserzeichen aus 
pdf-Dateien) zu benutzen. Leider wissen wir zur Zeit von 
keinem tool, das in der Lage ist, pdfs von alien Metadaten 
zu befreien. Grundsatzlich gilt: 


Je grofier das Sicherheitsbedurfnis , desto simpler 
sollte das Datenformat sein , das ihr fur die Uber- 
mittlung wahlt. 


39 https://mat.boum.org/ 










Reines Textformat verrat am wenigsten iiber den Rech- 
ner, an dem der Text erstellt wurde. Beachtet, dass der 
Name eines Dokuments unter Umstanden ebenfalls Riick- 
schliisse auf die Autor*in oder deren Rechner zulasst. 


Mailen iiber Tor 


Webmail 

Die einfachste Methode in Tails Emails zu versenden und 
zu empfangen ist der Zugriff (iiber Tor ) auf ein Web- 
mail-Konto. Wurde das Mail-Konto anonym angelegt, 
lasst sich dariiber die eigene Identitat verschleiern. An- 
dernfalls konnt ihr immerhin euren Aufenthaltsort ver¬ 
schleiern. 


Mailen iiber Tor 



Zwischenablage beinhaltet keine giiltigen Eingabeda- 
ten. “ angezeigt werden, versucht erneut den Text ge- 
maB Schritt 2 zu kopieren. 





4. Falls ihr den Text verschliisseln wollt, wahlt einen 
oder mehrere offentliche Schliissel fur die Empfanger 
des verschliisselten Textes im ^Schliissel wahlen“- Dia¬ 
log aus (siehe dazu das Kapitel PGP-Schliissel impor- 
tieren). 

5. Falls ihr den Text signieren wollt, wahlt den gehei- 
men Schliissel aus der „Nachricht signieren als“- 
Dropdown-Liste aus. Bedenkt, dass der Besitz dieses 
Schliissels die Urheber*innenschaft der so signierten 
Mail schwer abstreitbar macht. 


Fur alle, die verschliisselten Mail-Text per Webmail ver- 
schicken wollen, stellen wir im folgenden zwei Methoden 
der PGP-Verschliisselung vor. 


6. Klickt auf OK. Falls die Frage „Vertrauen Sie diesen 
Schliisseln?“ angezeigt wird, beantwortet dies entspre- 
chend. 


Warnung: Es ist unsicher, vertraulichen Text di- 
rekt in einen Webbrowser einzugeben, da Angrei- 
fer mit JavaScript aus dem Browser heraus dar- 
aufzugreifen konnen. 

Ihr solltet euren Text daher mit dem Tails Open- 
PGP Applet verschlusseln, und den verschliis- 
selten Text in das Browserfenster einfiigen. Ihr 
miisst zusdtzlich alle Skripte iiber NoScript ver- 
bieten! 


A) PGP-Verschliisselung mit offentlichem Schliissel 

Bei dieser Methode nutzt ihr die sehr sichere Stan- 
dard-PGP-Verschliisselung: Verschliisseln mit den 
offentlichen Schliisseln der Empfanger. Falls ihr noch 
nie mit PGP gearbeitet habt, konnt ihr Methode B) ver- 
wenden. 

1. Schreibt euren Text in einen Texteditor, nicht direkt 
in das Browserfenster eures Webmail-Anbieters! Zum 
Beispiel konnt ihr dazu gedit offnen iiber Anwendun- 
gen ► Zubehor ► gedit . 

2. Markiert dort den zu verschliisselnden oder zu si- 
gnierenden Text mit der Maus. Um ihn in die Zwi¬ 
schenablage zu kopieren, klickt ihr mit der rechten 
Maustaste auf den markierten Text und wahlt den 
Meniipunkt Kopieren aus. Das Tails OpenPGP Applet 
zeigt durch Textzeilen an, dass die Zwischenablage 
unverschliisselten Text enthalt. 

3. Klickt auf das Tails OpenPGP-Applet (in der Tails-Me- 
niileiste oben rechts) und wahlt die Option Zwi¬ 
schenablage mit offentlichem Schliissel signieren/ 
verschliisseln aus. Sollte die Fehlermeldung „Die 


7. Falls ihr einen oder mehrere offentliche Schliissel 
zum Verschlusseln des Texts ausgewahlt habt, zeigt 
das Tails OpenPGP Applet durch ein Vorhangeschloss 
an, dass die Zwischenablage nun verschliisselten Text 
enthalt. 
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Habt ihr einen geheimen Schliissel zum Signieren des 
Texts ausgewahlt, so zeigt das Tails OpenPGP Applet 
nun durch ein Siegel an, dass die Zwischenablage sig¬ 
nierten Text enthalt. 


Wed Dec 14, 5:42 PM 0 



8. 


Um den verschliisselten oder signierten Text in das 
Webmail-Fenster eures Mail-Anbieters (oder eine an- 
dere Anwendung) einzufiigen, klickt mit der rechten 
Maustaste auf das Eingabefeld, in das ihr den Text 
einfiigen mochten, und wahlt die Option Einfiigen 
aus dem Menii aus. 


] mail.riseup.net 


L*L 


S | G riseup.net l~ittps:/,fulvetta.riseup.net/sm/src/w v g] 


rfc*»i ip 

ComDose 


To:( 

Folders 

Last Refresh: 

Cc:( 

Wed, 7:55 am 
(Check mail) 

Bcc:( 


Subject:[ 


^ INBOX 
Drafts 
Sent 
9 Trash 


Current Folder: INBOX 


Compose Addresses Folders Options Search Help 


Priority! Norma l S | Fteceipt: □ On Read □ On Deliver 
[ Signature j [ Addresses ] [ Save Draft j [ Send | [ 


.BEGIN PGP MESSAGE. 

Version: GnuPG vl.4.10 (GNU/Linux) 


]A0EAwMCFxVMTBICpeFgyTR8VLfHCwpmYJ4yXKdzwvWkDDShl5lgniClhk 

f 6FX2J800059TX o/V7q k K9Z0t RZ7 

=ote8 

.END PGP MESSAGE. 























































Mailen liber Tor 


B) PGP-Verschliisselung mit Passphrase 

Bei dieser Methode miisst ihr eine geheime Passphrase 
mit den Personen teilen, die die Nachricht entschliis- 
seln sollen. Ihr musst die Passphrase also zuvor iiber einen 
sicheren Kanal (im giinstigsten Fall face-to-face) kommu- 
nizieren! 


Die beiden ersten Schritte sind identisch mit 1. und 2. aus 
Methode A). Dann geht es weiter mit: 


1. Klickt auf das Tails OpenPGP Applet und wdhlt 
die Option Zwischenablage mit Passwort ver- 
schlusseln aus. Sollte die Fehlermeldung „Die Zwi¬ 
schenablage beinhaltet keine gultigen Eingabeda- 
ten. “ angezeigt werden, versucht erneut den Text 
gemdfi Schritt 2 zu kopieren. 


2. Gebt eine Passphrase in den Passphrase Dialog ein. 
Wiederholt die gleiche Passphrase im zweiten Di¬ 
alog. 


3. Das Tails OpenPGP Applet zeigt durch ein Vor- 
hdngeschloss an, dass die Zwischenablage ver- 
schlusselten Text enthdlt. 
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4. Dieser Schritt ist identisch mit Schritt 8 aus Me¬ 
thode A). 


Entschlusseln Oder Signatur uberprufen 

Die Entschliisselung eines verschliisselten Textes / einer 
verschliisselten Mail funktioniert fur beide Verschliisse- 
lungs-Methoden folgendermaCen: 

1. Markiert mit der Maus den verschliisselten bzw. si- 
gnierten Text (z.B. in eurem Webbrowser), den ihr 
entschlusseln bzw. uberprufen mochtet. Schliefit 
die Zeilen u - -BEGIN PGP MESSAGE—- u und 
“-—END PGP MESSAGE-— 3 mit in die Mar- 
kierung ein. 

2. Ist der ausgewdhlte Text verschliisselt, zeigt dies 
das Tails OpenPGP Applet durch ein Vorhange- 
schloss an. Ist der ausgewdhlte Text nur signiert, 
aber nicht verschliisselt, wird dies durch ein Siegel 
im Tails OpenPGP Applet angezeigt. 

3. Klickt auf das Tails OpenPGP Applet und wdhlt 

Zwischenablage entschlusseln/uberprufen aus dem 
Menu aus. 

• Ist der ausgewahlte Text nur signiert und die Sig¬ 
natur giiltig, erscheint direkt das GnuPG-Ergebnis 
Fenster. 


• Ist der Text signiert, aber die Signatur ungiiltig, wird 
das GnuPG-Fehler Fenster mit der Nachricht FAL- 
SCHE Unterschrift von... angezeigt. Ihr konnt euch 
nicht sicher sein, dass der angegebene Absender 
auch der tatsachliche ist. 

• Ist der Text mit einer Passphrase verschliisselt, 
erscheint die Aufforderung Geben Sie die Passphrase 
ein..., danach auf OK klicken. 

• Ist der Text mit einem offentlichen Schliissel ver- 
schliisselt worden, konnen zwei verschiedene Dialoge 
angezeigt werden: 

• Ist die Passphrase zu einem geheimen Schliissel 
noch nicht zwischengespeichert, dann erscheint 
ein Dialog mit der Nachricht: Sie benotigen eine 
Passphrase, um den geheimen Schliissel zu ent- 
sperren. Gebt die Passphrase fur diesen gehei¬ 
men Schliissel ein, danach auf OK klicken. 

• Falls sich kein zum verschliisselten Text passen- 
der geheimer Schliissel im Schliisselbund befin- 
det, wird die GnuPG Fehlermeldung Entschlus- 
selungfehlgeschlagen: Geheimer Schliissel ist nicht 
vorhanden angezeigt. 

• Ist die Passphrase falsch, so wird ein GnuPG-Fehler 
Fenster mit der Meldung Entschliisselung fehlgeschla- 
gen: Falscher Schliissel angezeigt. 

• Ist die Passphrase korrekt, oder ist die Signatur auf 
den Text giiltig, so wird das GnuPG-Ergebnis- Fenster 
angezeigt. 

• Der entschliisselte Text erscheint im Textfeld Aus- 
gabe von GnuPG. Im Textfeld Andere Nachrichten 
von GnuPG zeigt die Nachricht „Korrekte Unter¬ 
schrift von... “ an, dass die Signatur giiltig ist. 


PGP-Schliissel importieren 

Da Tails iiber die aktuelle Sitzung hinaus keinerlei Daten 
speichert, miisst ihr fur die Verschliisselung mit Methode 
A bzw die Entschliisselung zunachst einen PGP-Schliissel 
von einem (hoffentlich verschliisselten!) Datentrager im¬ 
portieren. 

Ihr solltet niemals private PGP-Schliissel auf ei¬ 
nem unverschliisselten Datentrager speichern! 


Klickt dazu auf das Tails OpenPGP-Applet (in der Tails-Me- 
niileiste oben rechts) und wahlt die Option Schliissel ver- 
walten. Es offnet sich die Passwort und Schliisselverwal- 
tung von Tails. Hier konnt ihr unter Datei ► Importieren 
einen verfiigbaren Datentrager und dort den gewiinsch- 
ten Schliissel auswahlen. Beachtet, dass ihr zum Ent¬ 
schlusseln euren privaten PGP-Schliissel benotigt. Zum 
Verschliisseln (mit Methode A) benotigt ihr hingegen 
den offentlichen Schliissel des Empfangers. 









Ab jetzt stehen euch die so importierten PGP-Schliissel 
bis zum Ende der Tails-Sitzung (also bist zum Herunte- 
fahren des Rechners) zur Verfiigung. 


Remailer 

Remailer ermoglichen das Versenden einer Mail z.B, an 
die Mail-Adresse einer Zeitungsredaktion ohne (zwin- 
gend) eine eigene Mailadresse anzugeben. Nur in Verbin- 
dung mit Tails und Tor bieten Remailer eine gute Mog- 
lichkeit, anonym Mails zu versenden. Dabei entstehen 
teilweise betrachtliche Zeitverzogerungen bis eine Mail 
die Empfanger*in erreicht. 

Leider ist die Benutzung der von uns getesteten Remailer 
aktuell so umstandlich, dass wir auf eine detaillierte Be- 
schreibung verzichten miissen und auf die Website von 
https://remailer.paranoici.org/ verweisen. Das in alten 
Versionen dieser Broschiire beschriebene Webinterface 
funktioniert derzeit nicht (mehr). 


Chatten liber Tor 

Pidgin ist der Name des Chatclients, der bei Tails mitge- 
liefert wird. Im Vergleich zu einer Pidgininstallation un- 
ter einem „normalen“ Linux ist das Pidgin von Tails spe- 
ziell auf Verschliisselung abzielend vorkonfiguriert. 

Es wird nur eine limitierte Auswahl an Chatprotokollen 
angeboten: Varianten von XMPP und IRC. Fur diese bei- 
den Protokolle stehen Verschliisselungsmethoden bereit, 
die anderen Protokollen fehlen. Die Voreinstellungen, 
die die Tails-Variante von Pidgin mitbringt, deaktivieren 
das logging , also das Mitprotokollieren von Sitzungen. 
Auch mitinstalliert ist das OTR-Plugin, welches eine En- 
de-zu-Ende Verschliisselung erlaubt 40 . 

Fur den einmaligen Einsatz muss nichts weiter vorbe- 
reitet werden. Pidgin bei Tails kommt mit zwei vorkonfi- 
gurierten (zufalligen) Accounts daher, die direkt verwen- 
det werden konnen. Fur den regelmassigen Einsatz (mit 
eigenem Account) miisstet ihr Pidgin wegen der Vergess- 
lichkeit von Tails jedes Mai neu konfigurieren, oder die 
privaten Schliissel auf einem Datentrager sichern. 

Pidgin findet sich unter Anwendungen ► Internet ► Pidgin 
Inter net-Sofor tnachrichtendienst. 

Wenn Pidgin startet, zeigt es die sogenannte Buddylist , 

40 OTR : Off The Record - Ausdruck, der in Gesprachen signalisiert, 
dass das jetzt Gesagte nicht zitiert werden darf. Mehr zu OTR: https:// 
otr. cypher punks. ca / 



Chatten iiber Tor 


das ist so etwas wie ein Ad- 
ressbuch. Nach dem ersten 
Start muss (mindestens) ein 
Chat-Account angelegt werden 
(das ist vergleichbar mit einer 
Email-Adresse) - es sei denn 
ihr benutzt einen der beiden 
vorkonfigurierten Accounts. 



Im Menu Konten ► Konten verwalten aufrufen. Zum An- 
legen eines neuen Accounts auf „Hinzufugen“ klicken. 
Hier die Daten des Chataccounts eintragen. Pidgin hat 
die Besonderheit, dass ein Chat-Account name@jabber. 
server.org getrennt eingetragen werden muss: „name“ 
kommt in das Feld „Benutzer“ undjabber.server.org in das 
Feld„ Domain'. Der Rest kann leer gelassen werden. 



Verschliisselte Sitzung 

OTR verwendet das gleiche Schema wie auch PGP fur 
seine Schliissel: Es gibt einen offentlichen und einen pri¬ 
vaten. 

Chatsitzungen von Pidgin sind beim Start nicht 
verschliisselt - das Erste, was also (fiirjede Chat- 
sitzung) gemacht werden muss , ist die y ,Private 
Unterhaltung^ zu starten! Damit ist eine En- 
de-zu-Ende Verschliisselung via OTR gemeint. 


Nach der Auswahl des Meniipunktes „ Private Unterhal- 


tung C( startet eine verschliisselte Sitzung. 



Unterhaltung Optionen enden ai 

jj|£ 

1 » '■ 


Private Unterhaltung beenden 

Buddy authentifizieren 


jb Nicht privat 

(©) Was ist das? 


i 



Tippt sensible Inhalte erst nach dem Erscheinen der Mel- 
dung „Unterhaltung mit... begonnen \ Erst ab dieser Stelle 
wird alles, was in dieser Sitzung geschrieben wird, ver- 
schliisselt iibertragen. 








































Chatten liber Tor 


Unterhaltung Optionen Senden 

OTR & 


a 




(21 55:08) Versuche, eine private Unterhaltung mit 
_ zu beginnen... 

& (21:55:14) Nicht verifizierte Unterhaltung mit 
begonnen. 

b 


Was auf dem Screenshot allerdings sichtbar wird ist, dass 
das Gegeniiber nicht verifiziert ist - sprich, es ist nicht 
sicher, dass das Gegeniiber die Person ist, fur die sie 
sich ausgibt. 


Echtheit des Gegeniibers verifizieren 




Unterhaltung Optionen Senden an ^ 

Private Unterhaltung aktualisieren 

Private Unterhaltung beenden 



V — 

Unverifiziert 

® Was ist das? 


Ill II 


Um Zweifel auszuschlieCen, enthalt Pidgin mehrere Me- 
thoden das Gegeniiber zu identifizieren. Es stehen drei 
Methoden zu Verfiigung: 


• Frage und Antwort: Die Idee hinter dieser Me- 
thode ist, dass euer Gegeniiber die Frage nur dann 
richtig beantworten kann, wenn sie die richtige 
Person ist. Fragen wie „Wie lautet mein Nachna- 
me“ scheiden also aus, da die Antwort erraten wer- 
den kann. Vorteil dieser Methode ist, dass ihr euer 
Gegeniiber nicht vorher getroffen haben miisst, um 


Buddy authentifizieren 



authentifizieren 

Einen Buddy zu authentifizieren hilft sicherzustellen, dass die 
Person, mit der Sie sprechen die ist, die sie zu sein behauptet. 


Wie mochten Sie Ihren Buddy authentifizieren? 
Frage und Antwort 


Wahlen Sie zur Authentifizierung eine Frage ein, deren Antwort nur 
Ihnen und Ihrem Buddy bekannt ist. Geben Sie die Frage und Antwort 
ein und warten Sie dann darauf, dass Ihr Buddy diese Antwort ebenfalls 
eingibt. Sollten die Antworten nicht ubereinstimmen, haben Sie es 
moglicherweise mit einem Hochstapler zu tun. 

Frage hier eingeben: _ 

[was ist das Lieblingsessen meiner Katze? 


Geheime Antwort hier eingeben: (GroB-/ 
Kleinschreibung relevant) _ 

[saure Gurkenj 


Hilfe 


Abbrechen 


Authentifizieren 


ein entsprechendes Frage/Antwort-Paar vereinbart 
zu haben. Nachteil ist, dass eine entsprechende 
Frage mit nicht oder schwer erratbarer Antwort 
nicht leicht zu linden ist. Auf der anderen Seite 
sieht es dann so aus: 



Buddy authentifizieren 


Authentifizierung von 

Einen Buddy zu authentifizieren hilft sicherzustellen, dass die 
Person, mit der Sie sprechen die ist, die sie zu sein behauptet. 

Ihr Buddy versucht festzustellen. ob er wirklich mit Ihnen spricht Oder 
jemandem, der sich als Sie ausgibt. Er hat dazu die unten angegebene 
Frage gestellt. Um Ihren Buddy zu authentifizieren, geben Sie die 
Antwort ein und klicken Sie OK. 

Diese Frage wurde von Ihrem Buddy gestellt: 

Was ist das Lieblingsessen meiner Katze? 

Geheime Antwort hier eingeben: (GroB-/ 

Kleinschreibung relevant) 


Hilfe 


Abbrechen 


Authentifizieren 


• Gemeinsam bekannte Passphrase: Einfacher ist 
es da schon, liber einen sicheren Kanal ein gemein- 
sames „Passwort“ oder gleich einen ganzen Satz zu 
vereinbaren. Dieser muss natiirlich geheim bleiben. 


• Manueller Fingerprint-Vergleich: Mit dieser 

Methode werden die offentlichen Schliissel direkt 
miteinander vergleichen - ihr habt den Fingerab- 
druck des offentlichen Schliissels eures Gegeniibers 
und diese*r natiirlich auch (ist ja ihr eigener). Sind 
die Abdriicke gleich, dann sind auch die offentli¬ 
chen Schliissel gleich. Mit der Methode lasst sich 
ausschlieCen, dass jemand in der Mitte der Verbin- 
dung sitzt und beiden Seiten vorspielt, die jeweils 
andere Seite zu sein. 


Am sichersten, aber wohl auch am umstandlichsten, ist 
der Fingerprint- Vergleich. Die beiden anderen Verfahren 
haben entweder das Problem, ein gemeinsames Geheim- 
nis sicher auszutauschen oder aber eine nicht erratbare 
Antwort auf eine Frage zu entwerfen. Von der Frage/Ant- 
wort-Variante raten wir also ab, es sei denn, diese sind 
liber einen sicheren Kanal vereinbart worden. 


Hier der Fingerprintvergleich als Screenshot, am Ende 
des Vergleichs wird das Ergebnis gespeichert, sodass der 
Vergleich nur einmal notwendig ist. 



Konfiguration [ Bekannte Fingerprints | 


Spitzname Status Verifizier Fingerprint Konto 




Fingerprint verifizieren 


Private Unterhaltung beenden 


| SchlieSen | 


An dieser Stelle die Anmerkung, dass gespeicherte Fin¬ 
gerprints (ob iiberpriift oder nicht) ein Beleg fur einen 
Kommunikationsvorgang sind und sich dariiber ein Ab- 

































































































Aktionsfotos bearbeiten 


i 


bild eines soziales Netzes (wer kennt wenn, wer kommu- 
niziert mit wem) ansammelt. Uberlegt Euch, ob es euch 
das Wert ist - die Alternative ware allerdings ein erneutes 
Uberpriifen der Fingerprints bei jeder Sitzung, und wenn 
ihr die Schliissel von OTR nicht speichert, sind auch die 
jedes mal neu mit entsprechend neuem Fingerprint. 


fjg Aktionsfotos bearbeiten 

Bild offnen 

Ihr startet das Grafik-Programm Gimp unter Anwendun- 
gen ► Grafik ► GNU Image Manipulation Program und 
wahlt euer Bild unter Datei ► Offnen aus. 

Bild skalieren 

Heutige Digital-Kameras machen Fotos mit weit iiber 
zehn Megapixel Bildauflosung. Das kann fur Plakate und 
Broschuren sinnvoll sein, ist aber fur eine digitale Ver- 
offentlichung z.B. bei indymedia oder eine Verschickung 
per Mail unnotig grofi. Um das Bild kleiner zu machen, 
wahlt ihr in Gimp die Funktion Bild ► Bild skalieren. Der 
Dialog zur Einstellung einer neuen Breite und Hohe ist 
selbsterklarend. Wenn ihr Breite und Hohe „verkettet“ 
lasst, andert sich das Seitenverhaltnis des Bildes nicht. 
Eine Breite von z.B. 800 Pixel fur ein Bild im Querformat 
ist fur die meisten Internetzwecke ausreichend. Ihr been- 
det den Dialog mit dem Button „Skalieren“. 

Bild-Bereiche unkenntlich machen 

Ihr wahlt im „Werkzeugkasten“ das Werkzeug „Recht- 
eckige AuswahF und markiert einen Bereich, den ihr 
unkenntlich machen wollt. Der Bereich ist nun von einer 
laufenden gestrichelten Linie gerahmt. Ihr wahlt Filter ► 
Weichzeichnen ► Verpixeln als eine Moglichkeit, den In- 
formationsgehalt dieses Bildbereichs tatsachlich zu redu- 
zieren. In der Vorschau seht ihr das verpixelte Ergebnis. 

Ihr konnt die Pixelgrofie einstellen und danach mit „OK“ 
bestatigen. Mit der Wiederholung dieser Prozedur konnt 
ihr viele Bereiche (in denen z.B. Gesichter oder andere 
identifizierende Merkmale, wie z.B. Tatoos oder Schuhe 
zu sehen sind) unkenntlich machen. 

Wenn ihr mit manchen Resultaten nicht zufrieden seid, 
lassen sich die Operationen Schritt fur Schritt ruckgangig 
machen mit der Funktion Bearbeiten ► Ruckgangig. 

Bild speichern 

Dazu wahlt ihr in Gimp die Funktion Datei ► Expor- 
tieren und gebt einen Namen fur das zu speichern- 
de Bild an (zum Beispiel l.jpg). Abhangig vom so ge- 


wahlten Dateiformat (hier jpg) konnt ihr in diesem 
Dialogfenster noch die Qualitat des zu speichernden 
Bildes beeinflussen (100 bedeutet keine Kompression, 
also hohe Detailgenauigkeit aber auch grofiere Datei). 
Zum Abschluss klickt ihr auf „Exportieren“. 

Beachtet, dass das bearbeitete Bild wie im Kapitel „Me- 
tadaten entfernen c beschrieben, bereinigt werden muss, 
um Metadaten wie z.B. die Kamera-Seriennummer und 
unverpixelte Vorschaubildchen zu entfernen! 


fi I 



Zum Drucken den Drucker per USB-Kabel anschlieBen, 
anschalten und danach den Druckmanager unter Anwen- 
dungen ► Systemwerkzeuge ► Einstellungen ► Drucker 
starten. Dort „+“ bzw „Neuen Drucker hinzufiigen cc aus- 
wahlen und den (hoffentlich erkannten) Druckernamen 
mit „Hinzufiigen“ bestatigen. 

Nun miisst ihr in der (lokal vorhandenen) Datenbank ei¬ 
nen Druckertreiber linden. Dazu wahlt ihr zunachst den 
Druckerhersteller und dann ein Modell, was eurem mog- 
lichst ahnlich ist. Haufig ist es ausreichend, das nachst 
altere Modell samt dem vom Manager empfohlenen Trei- 
ber auszuwahlen, falls ihr euer Druckermodell nicht fin- 
det. Ihr bestatigt die Wahl abschlieBend mit , y Anwenden ( 
und konnt eine „Testseite drucken\ 

Hinweis: Ein eventuell schon vor der Druckerinstallati- 
on geoffnetes Programm (z.B. OpenOffice) muss erneut 
gestartet werden, um den „neuen“ Drucker zu erkennen 
und fur den Druck anzubieten. 

Wer mehrfach den gleichen Drucker benutzt, kann sich 
die Installation am Anfang einer jeden Tails-Sitzung 
erleichtern, in dem er im Netz nach einem passenden 
Linux-Druckertreiber sucht. Die so heruntergeladene 
.ppd-Datei kann auf einem Datenstick dauerhaft gespei- 
chert und anstelle der Suche in der lokalen Treiber-Da- 
tenbank angegeben werden. 

Beachtet, dass ein Ausdruck iiber das spezifische Druck- 
bild bei einer forensischen Untersuchung eindeutig ei¬ 
nem einzelnen Drucker (nicht nur einem Druckertyp!) 
zugeordnet werden kann. Manche Farbdrucker hinterlas- 
sen zur Identifikation eine Kennung aus Einzelpunkten, 
die mit dem Auge nicht zu identifizieren ist 41 . Es handelt 
sich hierbei um unsichtbare Wasserzeichen, die einem 
Drucker eindeutig zugeordnet werden konnen (machine 
identification code (mic)). 

Das bedeutet fur eine sensible Print-Verolfentlichung, 
dass ihr preiswerte „Wegwerf tt -SchwarzweiB-Drucker 

41 https://eff.org/ issues/printers 






Scannen 


benutzen miisst. Wer durch anschlieCendes mehrfaches 
Kopieren (mit unterschiedlichen Kontraststufen) das 
Druckbild des Druckers verschleiern will, sollte beach- 
ten, dass fast alle Copy-Shops digitale Kopierer einsetzen, 
die mit einer grofien Festplattenkapazitat auch noch nach 
Wochen auf die einzelnen Druckauftrage inklusive exak- 
tem Datum zugreifen konnen. 



Scannen 


Zum Scannen den Scanner per USB-Kabel anschlieCen, 
anschalten und danach das Programm „ Simple Scan“ 
unter Anwendungen ► Grafik ► Simple Scan starten. Ein- 
fache (einseitige) Scanner funktionieren oft erst dann 
korrekt, wenn ihr im Programm unter Dokument ► Ein- 
stellungen ► Scan Side auf „Front“ setzt. Falls gewiinscht 
konnt ihr die Scan-Auflosung fur Fotos bzw. Text veran- 
dern. Dann konnt ihr die Einstellungen „Schliefien“. Ach- 
tet auch hier auf die Zuordenbarkeit zwischen Scan und 
Scanner. 

Jetzt konnt ihr im Programm Dokument ► Scannen ► 
Text /Foto wahlen, um anschlieCend mit dem Button 
„Scannen“ eine Seite zu scannen. Falls die Einstellung 
Text zu keinem Ergebnis fiihrt, schaltet auf die Einstel¬ 
lung Foto um. Ihr konnt die Seite(n) noch drehen oder 
auf einen bestimmten Bereich zuschneiden, bevor ihr das 
Dokument mit „Speichern“ sichert. 

Fur eine weiterfiihrende Nachbearbeitung des abgespei- 
cherten Scans empfehlen wir das Programm Gimp 42 un¬ 
ter Anwendungen ► Grafik ► GNU Image Manipulation 
Program. 



Beamer benutzen 


Wenn ihr in eurer Gruppe Texte bzw. Recherechergebnis- 
se gemeinsam diskutieren wollt, kann ein Beamer helfen. 
Falls euer Computer den Beamer nicht automatisch er- 
kennt, miisst ihr in folgender Reihenfolge vorgehen: den 
Beamer mit dem Computer verbinden, z.B. via VGA-Ka- 
bel £ oder HDMI-Kabel 


einschalten und 
dann in Tails unter Anwendungen ► Systemwerkzeuge ► 
Einstellungen ► Monitore die Option „Gleiches Bild auf al¬ 
ien Bildschirmen ( auswahlen undbestatigen. 


Falls euer Rechner den Beamer immer noch nicht als ex- 
ternen „Bildschirm“ erkennt, konnt ihr euren Rechner 
mit einer der Funktionstasten 43 dazu bringen, das Bild 

42 siehe Kapitel Aktionsfotos bearbeiten 

43 Welche Funktionstaste zum externen Bild umschaltet, hangt leider 


auch an den VGA-Ausgang zu schicken. Mehrmaliges 
Driicken dieser Funktionstaste schaltet bei vielen Mo- 
dellen zwischen den drei Einstellungen „nur Laptop-Bild- 
schirm\ „nur Beamer ( oder „beide“ um. 


Warnung: Grenzen von Tails 

Wir stellen hier einige Warnungen zur Nutzung von Tails 
und Tor zusammen, die ihr zur Bewertung eurer Sicher- 
heit und zur Uberpriifung nutzen konnt, in welchem 
Umfang Tails fur eure spezifischen Anforderungen geeig- 
net ist 44 . 

Tails verschliisselt nicht automatisch eure Dokumente, 
loscht nicht automatisch die Metadaten aus euren Doku- 
menten und verschliisselt auch keine Mail-Header eurer 
verschliisselten Mails! 

Tails nimmt euch auch nicht die Arbeit ab, eure Netzak- 
tivitaten (entlang tatigkeitsbezogener Identitaten) auf- 
zutrennen und Tails macht schwache Passworter 45 nicht 
sicherer. 

Kurzum, Tails ist kein Wunderheiler fur Compu- 
ter-Nicht-Expert*innen. Ihr miisst also grob verstehen, 
was ihr (mit Hilfe von Tails) macht und ihr miisst euer 
Netzverhalten neu entwerfen (siehe Kapitel Nur iiber Tor 
ins Netz). 



Ihr konnt nicht verschleiern, dass ihr 
Tor und Tails verwendet 

ToR-Nutzer*innen sind als solche erkennbar - folglich 
auch die Nutzer*innen von Tails, denn Tails schickt auto¬ 
matisch alle Verbindungen iiber das ToR-Netzwerk. Der 
Zielserver (z.B. die Webseite, die ihr besucht) kann leicht 
feststellen, dass ihr Tor nutzt, da die Liste der Tor- Exit- 
Rechner 3 (siehe Kapitel Nur iiber Tor ins Netz ) fur alle 
einsehbar ist. 

Tails versucht es so schwer wie moglich zu machen, 
Ta//s-Nutzer*innen von anderen To£-Nutzer*innen ab- 
zugrenzen, insbesondere von Nutzern des Tor Browser 
Bundles . 

Manche Webseiten fragen viele Informationen iiber die 
Browser der Besucher ab. Zu den gesammelten Informa¬ 
tionen konnen unter anderem Name und Version des 
Browsers, die FenstergroBe, eine Liste mit den verfiigba- 
ren Erweiterungen und Schriftarten, sowie die Zeitzone 
gehoren. Einige dieser Merkmale konnen z.B. iiber die 

vom Rechner-Hersteller ab, ist aber als Symbol auf der Tastatur er¬ 
kennbar. 

44 https://tails.boum.org/doc/about/warning/index.de.html 

45 siehe dazu das Kapitel Sichere Passwortwahl 









Warnung: Grenzen von Tails 


Nutzung von NoScript 46 im Tor -Browser unterdruckt 
werden. Andere, wie z.B. die Bildschirmauflosung und 
die Farbtiefe konnen unseres Wissens nicht unterdruckt 
werden. Diese Kennungen konnen eine Identifikation des 
Rechners erleichtern, bzw. eine Zuordnung eures Aufru- 
fes einer Webseite zu anderen bereits besuchten Websei- 
ten ermoglichen 47 . 

Tor schiitzt nicht vor einem globalen Angreifer 

Wie sicher ist die Verschleierung der IP-Adresse bei Be- 
nutzung des Tor- Netzwerks? Erganzend zum Kapitel „Ist 
Tor noch sicher?“ in der Einfiihrung hier noch einige An- 
merkungen. 

Ihr konnt in jedem Fall enttarnt werden, wenn ihr es mit 
einem globalen Angreifer zu tun habt, d.h. wenn jemand 
alle Rechner des Tor-N etzwerks korrumpiert hat bzw. 
den Datenverkehr zwischen alien ToR-Rechnern in Echt- 
zeit mitprotokolliert. Einem solchen Angreifer ist es mog- 
lich iiber die Analyse von Zeitstempeln und GroBe der 
ausgetauschten (verschliisselten) Datenpakete, einzelne 
Tor -Nutzer*innen den jeweiligen Zielservern zuzuord- 
nen - also die Anonymitat aufzuheben! 48 

Jeder Mensch weltweit mit einem Netzanschluss geniigend 
groBer Bandbreite kann seinen Rechner dem ToR-Netz- 
werk zur Verfugung stellen - auch Behorden und andere 
verdeckte Angreifer. Verteilt iiber die ganze Welt betei- 
ligen sich derzeit iiber 7000 Rechner von verschiedenen 
Institutionen und Privatmenschen am ToR-Netzwerk. 

Eine im Oktober 2013 veroffentlichte Studie von Wis- 
senschaftler*innen 49 befasste sich mit dem bereits be- 
kannten Problem der ausgedehnten Protokollierung des 
Tor- Netzwerkverkehrs. Ziel war es, die Wahrscheinlich- 
keit und den Zeitraum einschatzen zu konnen, der beno- 
tigt wird, um geniigend Daten (iiber Alltagsroutinen im 
Netz) fur eine Zerstorung der Anonymitat zu sammeln. 
Nach dem dort untersuchten Modell konnte in sechs Mo- 
naten durch den Betrieb eines einzigen Tor- Rechners, 
die Anonymitat von 80% der verfolgten Benutzer*innen 
durch gezielte Suche nach wiederkehrenden Traffic-Mus- 
tern gebrochen werden. 

Die Praxis schien zumindest zum Zeitpunkt der von 
Snowden kopierten Geheimdokumente (im Friihjahr 
2013) etwas komplizierter als derartige Modelle. Ein Ar- 
tikel der britischen Zeitung The Guardian berichtete im 
Herbst 2013 von geringen Erfolgen, welche die NS A beim 
Versuch verbuchte, ToR-Benutzer*innen zu identifizie- 
ren. Zugrunde lagen dem Artikel die Snowden-Doku- 

46 siehe dazu das Kapitel Surfen iiber Tor 

47 http://heise.de/-1982976 

48 Wer mehr iiber die Zielsetzung und das Bauprinzip von Tor erfah- 
ren will: Tor Project: The Second-Generation Onion Router (Kapitel 
3, Design goals and assumptions) https://svn.torproject.org/svn/pro- 
jects/design-paper/tor-design.pdf 

49 http://www.ohmygodel.com/publications/usersrouted- ccs 13 .pdf 


mente iiber Prism. „Wir werden niemals alle ToR-Nutzer 
identifizieren konnen 4 , zitierte der Guardian aus einer 
Top-Secret-Prasentation mit dem Titel „Tor stinks 4 . Mit 
manueller Analyse sei man (damals) lediglich in der Lage 
(gewesen), einen sehr kleinen Anted der ToR-Nutzer*in- 
nen zu identifizieren. Insbesondere habe die Agency bis¬ 
lang keinen Erfolg damit gehabt, Anwender*innen auf 
konkrete Anfragen hin gezielt zu de-anonymisieren. 

Die bislang veroffentlichten „Enttarnungserfolge 44 beruh- 
ten auf (noch nicht geschlossenen) Sicherheitsliicken des 
verwendeten Browsers und insbesondere der installierten 
Browser-Plugins(!), auf Anwendungsfehlern oder auf im- 
mer gleichen Mustern der Nutzer*innen. Allerdings sind 
auch Sicherheitsliicken im Tor- Protokoll gefunden und 
behoben worden. Ob sie in dieser Zeitspanne zur Enttar- 
nung von Nutzer*innen gefiihrt haben, ist uns nicht be- 
kannt. 

VRAM Analyse 

Bei einer nicht weiter bekannten Anzahl von verbreiteten 
Grafikkarten kann ein Angreifer die im Arbeitsspeicher 
der Grafikkarte (VRAM) hinterlegten Bildschirmdaten 
wiederherstellen. Tails bietet aktuell (in Version 2.3) keine 
Moglichkeit dies zu unterbinden. Die Wiederherstellung 
von Bildschirmdaten die unter dem Namen „Palinopsie 
Bug 44 bekannt wurde, betrifft auch virtuelle Umgebungen 
wie Virtualbox. Davon betroffen sind mehrere ATI- und 
NVIDIA Grafikkarten 50 . 

Man-in-the-middle-Angriffe 

Bei einer solchen Attacke greift ein Man-in-the-middle 
aktiv in die Verbindung von eurem Rechner zu einem 
Zielserver ein: Ihr denkt, dass ihr direkt mit dem Server 
eures Mail-Anbieters oder mit der Eingabemaske des 
Nachrichten-Portals de.indymedia.org verbunden seid, 
tatsachlich sprecht ihr mit der Angreifer*in, die das ei- 
gentliche Ziel imitiert 51 . 

Auch bei der Benutzung von Tor sind derartige Angriffe 
moglich - sogar ToR-Exit-Rechner 52 konnen solche An¬ 
greifer sein 53 . Eine verschliisselte Verbindung (SSL-Ver- 
schliisselung fur euch im Browser am https://... erkenn- 
bar) ist hilfreich, aber nur dann, wenn ihr die Echtheit des 
Zertifikats einer solchen Verbindung uberpriifen konnt. 


50 https://hsmr.cc/palinopsia/ 

51 Die NSA geht hier noch einen Schritt weiter und erweitert Man-in- 
the-middle-Angriffe durch Man-on-the-side-Angriffe: Diese Variante 
hat den „Vorteir, dass keine Verzogerungen im Datenverkehr wahrge- 
nommen werden. Siehe dazu: https://en.wikipedia.org/wiki/Man-on- 
the-side_attack 

52 siehe zur Funktionsweise von Tor das Kapitel Nur liber Tor ins 
Netz 

53 Man-in-the-middle Angriffe von Tor -Exit-Rechnern ausgefuhrt: 
http://www.teamfurry.eom/wordpress/2007/l 1/20/tor-exit-node- 
doing- mitm - attacks 






Warnung: Grenzen von Tails 



Wir gehen hier nicht tiefer auf Zertifizierungsmethoden 
und deren Verlasslichkeit ein, wollen euch aber zumin- 
dest die Basis fur ein gesundes Misstrauen mitgeben: 


Wenn euch dieser Bildschirm beim Verbindungsaufbau 
angezeigt wird, dann konnte die Echtheit eures Zielservers 
(in unserem Beispiel der Mailanbieter oder indymedia) 
nicht garantiert werden. Damit ist nicht gesagt, dass an 
der Verbindung wirklich etwas „faul“ ist. 



This Connection is Untrusted 

You have asked Iceweasel to connect securely to www.aeat.es, but we cant confirm that your 
connection is secure. 


Normally, when you try to connect securely, sites will present trusted identification to prove that 
you are going to the right place. However, this site’s identity cant be verified. 


What Should I Do? 


If you usually connect to this site without problems, this error could mean that someone is trying 
to impersonate the site, and you shouldn't continue. 

Gel me out of herel 


Technical Details 


I Understand the Risks 


Wenn ihr jedoch die Moglichkeit habt, den unter „ Techni¬ 
cal Details' angezeigten (vorgeblichen) Fingerprint eures 
Zielservers zu iiberpriifen (Besuch der Seite von einem 
anderen Rechner aus, oder andere Quellen), dann solltet 
ihr das tun! 


Das wehrt nicht alle Arten von Man-in-the-Middle-Atta- 
cken ab, erschlagt aber einen groBen Anted. 

Tails unterstiitzt euch mit dem ToR-Browser-Plu- 
gin HTTPS-Everywhere dabei, (wo moglich) 
SSL-verschlusselte Verbindungen aufzubauen. 
Wenn ihr die Moglichkeit habt, die Echtheit die¬ 
ser Verbindung iiber den Fingerprint zu uberprii- 
fen, solltet ihr das unbedingt tun. 


Cold-Boot Angriffe 


Temperatur 54 ) erst nach einigen Minuten verloren. An- 
greifer*innen konnen diese Zeit zum Auslesen des Ar- 
beitsspeichers nutzen, benotigen dazu jedoch physischen 
Zugang zum Rechner. 

Tails uberschreibt beim Herunterfahren bzw. Ausschalten 
des Rechners (per Power-Off) den Arbeitsspeicher des- 
wegen mit Zufallszahlen. Das klappt jedoch nicht bei al¬ 
ien Computern: Wenn sich euer Rechner beim Herunter¬ 
fahren oder beim „Ausschalten 4 nach zwei Minuten nicht 
selbststandig ausschaltet, dann gibt es keine Garantie da- 
fur, dass das Uberschreiben (vollstandig) funktioniert 
hat. 


Im Fall einer iiberraschenden Beschlagnahmung 
eures Rechners sofort den Ausschalter driicken! 
Es ist ratsam, den Rechner herunterzufahren, 
wenn er langere Zeit unbeaufsichtigt ist - z.B. in 
der Nacht. 


Keylogger 


Wenn ihr einen nicht vertrauenswiirdigen Computer 
verwendet, z.B. einen fur alle zuganglichen in einer of- 
fentlichen Bibliothek, dann kann potentiell alles, was ihr 
iiber die Tastatur eingebt, von einem Hardware Keylogger 
aufgezeichnet werden. 

Um die Eingabe von Passwortern oder sensiblen Texten 
vor einem Keylogger zu schiitzen, konnt ihr die Bild- 
schirmtastaturve rwenden. Um die Bildschirmtastatur an- 
zuzeigen, klickt ihr auf das Tastatursymbol in der Kont- 
rollleiste oben. Jeder Klick auf dieser virtuellen Tastatur 
ersetzt dann einen realen Tastaturanschlag. Da auch das 
Fernauslesen des Bildschirminhalts nachweislich zu den 
Angriffsmethoden der Geheimdienste gehort, raten wir 
grundsatzlich: 

Wenn ihr der Hardware nicht trauen konnt, 

benutzt sie nicht fur sensible Arbeit! 

j 


^ ] Gefahren von kabellosen Schnittstellen 


Beim Start von Tails werden die kabellosen 
Schnittstellen WLAN, wwan, wimax, blue¬ 
tooth - sofern in eurem Computer vorhanden - 
(mit geanderter MAC-Adresse) aktiviert. 


Bei der Benutzung eines Computers werden alle bearbei- 
teten Daten temporar im Arbeitsspeicher zwischenge- 
speichert - auch Passworter und PGP-Schliissel! 

Nachdem ihr den Computer ausschaltet, geht der In¬ 
halt des Arbeitsspeichers nicht sofort, sondern (je nach 


Beim WLAN reicht die Manipulation der MAC-Adresse 
aus, um von anderen Geraten in Reichweite falsch identi- 
fiziert zu werden. 

54 Je kalter, desto langer „halt sich“ der Speicherinhalt. Daher benut- 
zen Forensiker zur Datenwiederherstellung beschlagnahmter Gerate 
Kaltemittel zur kurzfristigen „Daten-Konservierung“ 






























Tails als Quasi-Schreibmaschine 


•1 




Die Bluetooth-Schnittstelle eures Laptops hingegen be- 
nutzt zur Identifikation nicht nur eine der MAC ahnliche 
Adresse sondern auch eine andere, nicht veranderbare 
Gerate-Adresse 55 . Das heiCt aber: 

Euer Laptop kann von anderen Geraten mit einer 
Bluetooth-Schnittstelle identifiziert werden - je nach 
Ubertragungsstandard zwischen ein und 100 Meter 
weit 56 ! 



Daher ist es fur eine sichere Betriebsart von Tails 
unerlasslich, samtliche nicht benotigte Funk- 
schnittstellen abzuschalten. Wir beschreiben 
hier drei unterschiedliche Metho- 
den. Wir halten Variante 1 fur die 
sicherste: 


1. Bluetooth 57 ausbauen 

In vielen neueren Laptops findet sich eine Karte , die 
sowohl das WLAN, als auch das Bluetooth-Modul 
beinhaltet (siehe Abbildung rechts). Nach Losen 
aller Schrauben des Laptop-Bodens und dem 
Abnehmen des Bodendeckels 
konnt ihr die beiden Anten- 
nenanschliisse abziehen und 
die Karte(n) herausnehmen. 

Im Falle einer kombinierten 
Bluetooth/WLAN-Karte 58 miisst 
ihr diese durch eine reine WLAN-Karte ersetzen. 

2. Bluetooth im BIOS deaktivieren 

Dies ist leider nicht bei alien Computern moglich. 

3. Software-seitig abschalten 

Solange Tails in seinem Startbildschirm nicht die 
Option anbietet, Bluetooth und andere Funkschnitt- 
stellen vor Systemstart zu deaktivieren, miisst ihr 
einen umstandlichen workaround nutzen: An einem 
fur euch untypischen Ort Tails starten, dann alle 
Gerate in Tails manuell deaktivieren und danach 
einen Ortswechsel vornehmen, um woanders mit 

55 Die Situation ist ahnlich dem im Kapitel Tails andert eure MAC-Ad- 
ressen beschriebenen Problem mit den UMTS-Sticks, die zur Anmel- 
dung beim Mobilfunk-Anbieter zusatzlich die IMSI der SIM-Karte 
und die IMEI des Sticks iibermitteln. 

56 Die haufigsten Bluetooth-Gerate (der Klasse 2) haben mit einer Sen- 
deleistung von 2,5 mW etwa 10m Reichweite. Im Freien konnen sie aber 
aus bis zu 50 Metern Entfernung noch erkannt werden! Die selteneren 
Gerate der Klasse 1 konnen eine Reichweite drinnen und drauBen von 
100 Metern erreichen, benotigen dafiir aber auch 100 mW. Gegen- 
wartig liegen Gerate mit Bluetooth der Klasse 3 im Trend. Mit einer 
Leistungsaufnahme von 1 mW sind sie nur fur den Einsatz bei kurzen 
Strecken und in Geraten mit langer Akkulaufzeit gedacht, wie etwa 
Headsets, Horgeraten oder Pulsmessern, die beispielsweise ihre Daten 
an Smartphones weitergeben. Durchschnittlich liegt deren Reichweite 
bei etwa einem Meter, maximal sind es zehn. 

57 Da die Bauart dieser Karten und die Orte wo (im Rechner) genau 
sie verbaut sind, variieren, miisst ihr in der Betriebsanleitung (User 
Manual) eures Computers nach einer Beschreibung zu deren Ein-und 
Ausbau suchen. 

58 siehe dazu das Kapitel Tails als Quasi-Schreibmaschine. 



der Arbeit zu beginnen. Dazu miisst ihr: 

• Beim Startbildschirm „weitere Optionen ( wahlen 
und ein Administrator-Passwort eingeben 59 . 

• Nach dem Start Anwendungen ► Zubehor ► Root 
Terminal anklicken. Jetzt werdet ihr nach dem zu- 
vor eingegebenen Administrator-Passwort gefragt. 
Bei richtiger Eingabe offnet sich ein so genanntes 
Terminal, in dem ihr folgende Befehlssequenz 
eintippt und mit der Eingabe-Taste abschickt: 

• rfkill block bluetooth wimax wwan 60 

Fertig - Jetzt konnt ihr an den Ort wechseln , an dem ihr 
per WLAN ins Netz gehen wollt. Achtet darauf, dass der 
Rechner wahrend des Ortswechsels nicht ausgeht! 

Bei der (unsichersten) Variante 3 habt ihr das Problem 
jedoch lediglich software-technisch auf Betriebssys- 
tem-Ebene gelost. Eine eventuell wahrend der Sitzung 
eingeschleuste Schadsoftware kann eben diese Deaktivie- 
rung aller Funkschnittstellen mit einem weiteren Kom- 
mando genauso einfach riickgang machen. 


lai Tails als Quasi-Schreibrnaschine 

Im Februar 2015 veroffentlicht der Antiviren-Soft- 
ware-Hersteller Kaspersky, dass die NSA in groBerem 
Umfang die Firmware von Festplatten infiziert. Die einge¬ 
schleuste Schadsoftware uberlebt eine Formatierung der 
Festplatte oder Neuinstallation des Betriebssystems und 
sei nicht zu entdecken. Gleichzeitig werde sie genutzt, um 
einen versteckten Bereich auf der Festplatte zu schaffen, 
auf dem Daten gesichert werden, um sie spater abgreifen 
zu konnen. Die einzige Moglichkeit, die Schadsoftware 
loszuwerden sei die physikalische Zerstorung der Fest¬ 
platte. 

Fur eine sicheres, spurenfreies Bearbeiten von extrem 
sensiblen Dokumenten empfehlen wir die Arbeit an ei¬ 
nem Rechner, der weitgehend abgeschottet ist und insbe- 
sondere keine Festplatte(n) besitzt. 


Festplatte(n) abschalten 

Zwar musstet ihr die im Computer vorhandene Festplat¬ 
te, wie jeden anderen Datentrager auch, in Tails erst im 
Menu Orte ► Rechner verfiigbar machen bevor ihr (ver- 
sehentlich) darauf etwas speichern konnt. Aber genau 
solche „Versehen“ und die Moglichkeit, dass eine in der 
Sitzung eingeschleuste Schadsoftware doch auf die Fest¬ 
platte zugreifen konnte wollen wir ausschalten. Wir stel- 
len euch zwei Methoden vor. Wir empfehlen die erste: 

59 Siehe dazu das Kapitel „Tails starten‘ 

60 mit rfkill block bluetooth bzw rfkill block wlan lassen 
sich die Schnittstellen auch einzeln abschalten, falls ihr die jeweils an¬ 
dere benotigt. 






Persistenz 


• Festplatte ausbauen 

In der Bedienungsanleitung (ansonsten User Manual 
im Internet suchen) eures Rechners sind die dazu 
notwendigen Schritte erlautert. Als erstes miisst ihr 
den Akku aus eurem Laptop herausnehmen und 
den Netzstecker abziehen. Bei vielen Laptops miisst 
ihr die Schrauben auf dem Boden losen und den 
Boden abnehmen. Die Festplatte ist mit dem 
Restgehause zusatzlich verschraubt. Nachdem ihr 
diese gelost habt, konnt ihr die Festplatte vom 
Stecker abziehen. 



• Festplatte im BIOS deaktivieren 

Wenn euch der Ausbau zu aufwandig erscheint, 
miisst ihr zumindest im BIOS die interne(n) Fest- 
platte(n) eures Computers deaktivieren 61 . 


Alle kabellosen Schnittstellen abschalten 

Das kabelgebundene Netz (LAN) lasst sich einfach iiber 
das Abziehen des Netzwerkkabels „deaktivieren“. Zu¬ 
satzlich ist es fur diese besonders sichere Betriebsart von 
Tails als ,,Quasi-Schreibmaschine“ unerlasslich, samtliche 
Funkschnittstellen abzuschalten. Wir beschreiben hier 
drei unterschiedliche Methoden (1 ist die sicherste , 3 die 
unsicherste): 

1. WLAN und Bluetooth 62 ausbauen 

analog zu Schritt 1 im vorherigen Kapitel Gefah- 
ren von kabellosen Schnittstellen . Ihr ersetzt die 
ausgebaute Karte jedoch nicht. 


61 Unmittelbar nach dem Computer-Start eine der Tasten FI, F2, 
DEL, ESC, F10 oder F12 gedriickt halten (auf einen Hinweis auf dem 
kurz erscheinenden Startbildschirm achten), um in das BIOS-Setup zu 
gelangen. Siehe dazu das Kapitel im Anhang: „Bootreihenfolge im Bios 
andern“ 

62 Da die Bauart dieser Karten und die Orte wo (im Rechner) genau 
sie verbaut sind, variieren, miisst ihr in der Betriebsanleitung (User 
Manual) eures Computers nach einer Beschreibung zu deren Ein-und 
Ausbau suchen. Hier ein Abbild einer kombinierten WLAN- und 
Bluetooth-Karte eines Laptops. 


2. Alle Netzwerkadapter im BIOS deaktivieren 
(leider nicht bei alien Computern moglich) 

3. Ihr startet Tails neu und wdhlt am Startbildschirm 
„weitere Optionen ( , um dann „Alle Netzwerk- 
funktionen deaktivieren w anzuklicken. 

Hiermit bleiben (seit Version Tails-1.8) alle Netz¬ 
werkadapter softwareseitig beim Start deaktiviert. 
Dies geschieht sinnvoller Weise bevor Tails seine 
Netzwerkfunktionalitat startet. So bleiben u.a. 
WLan und Bluetooth still und konnen eure Anwe- 
senheit in Funkreichweite anderer Gerate nicht 
mehr preisgeben. 

Ein vollstandig abgeschotteter Schreib-Computer, 
aus dem ihr die Festplatte(n) und alle kabellosen 
Netzwerkadapter ausbaut y gibt euch erhohte Si- 
cherheit beim Erstellen und Bearbeiten von Do- 
kumenten: Ihr seid ohne weiteres nicht zu iden- 
tifizieren und zu lokalisieren und ihr verhindert 
ein „versehentliches (( Speichern auf Festplatte! 


Persistenz 


Daten und Einstellungen bleiben auf dem 
Tails-USB-Stick erhalten. 

Bei normaler Benutzung werden alle Daten und alle Ein- 
stellungsanderungen (gespeicherte Texte, Bilder, Ver- 
schliisselungskeys, Programmkonfigurationen, etc.) mit 
dem Runterfahren des Rechners verworfen. Das hat den 
Vorteil, dass keine individuellen Spuren auf dem Stick 
verbleiben, schrankt aber die bequeme Benutzbarkeit 
fur einige Anwendungen ein. Um dem zu begegnen, 
gibt es bei der Nutzung von Tails auf einem USB-Stick 
die Moglichkeit, ein sogenanntes “persistent volume ” zu 
verwenden. Gemeint ist damit ein Speicherbereich auf 
dem Tails-Stick, welcher eben nicht vergesslich ist. Dieser 
Speicherbereich wird von dem Platz auf dem USB-Stick 
abgezweigt, der nicht von der Tails-Installation (etwa 1,3 
GB) belegt wird. Je mehr Kapazitat also der USB-Stick 
hat, um so groBer fallt das “persistente Volume ” aus. 
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Persistenz 



Es erscheint ein Dialog mit Hinweisen und der Abfrage 
des Passworts. Bitte beachtet die Hinweise in dieser Bro- 
schiire zur Auswahl eines starken Passworts. 



Nach Eingabe des Passwortes wird das persistente Volu¬ 
me erzeugt, das kann einen Moment dauern. 



1st dieser Vorgang abgeschlossen, folgt der Dialog zu 
Konfiguration des persistent Volume. Ihr konnt iibrigens 
diese Konfiguration zu jedem spateren Zeitpunkt anpas- 
sen. Eine Erklarung des Konfigurationsdialogs: 



* Personliche Daten: In Eurem home-Verzeichnis wird 
ein Ordner “Persistent” erzeugt. Dokumente (Bilder, Tex- 
te, etc) die in diesem Ordner liegen, “iiberleben” einen 
reboot von Tails uns sind in der nachsten Sitzung immer 
noch vorhanden. 

* GnuPG: Offentliche und private GPG/PGP Schliissel 
bleiben erhalten. 

* SSH-Programm: Schliisselmaterial des SSH-Pro- 
gramms bleiben erhalten. Wenn ihr nicht wisst, was SSH 


ist und wozu es gebraucht wird, dann konnt ihr diesen 
Punkt weglassen. 

* Pidgin: Auch das Chat-Programm Pidgin verwendet 
Schliissel, um eine sichere Kommunikation zu erlauben. 
Sollen diese Schliissel erhalten bleiben, dann aktiviert 
diesen Punkt. Mehr dazu im Kapitel Chatten ilber Tor. 

* Ice Dove (Thunderbird): Tails bringt ein E-Mailpro- 
gramm mit, dessen Einstellungen (Mailserver, Account- 
daten, etc) aber auch heruntergeladene Mails bleiben 
erhalten, wenn dieser Punkt aktiviert ist. Mehr dazu im 
Kapitel Mailen mit Persistenz. 



* Gnome Schliisselbund: Tails benutzt einen Keymana- 
ger, der dafiir sorgt, dass Passworter, die ihr fur einen 
Dienst eingebt nicht nochmal eingegeben werden miis- 
sen, wenn ihr diesen Dienst ein zweites Mai verwendet - 
das GPG-Passwort ist ein Beispiel dafiir: Einmal eingege¬ 
ben, wird es bei der nachsten verschliisselten Mail 
wiederverwendet. Aktiviert ihr diesen Punkt, dann blei¬ 
ben diese Passworter auf dem Stick gespeichert. Wir raten 
von der Benutzung ausdriicklich ab! 

* Netzwerkverbindungen: Habt ihr spezielle Netzwerk- 
konfigurationen (UMTS-Sticks, zB), ohne die ihr nicht 
ins Internet kommt, dann konnt ihr die durch Aktivie- 
rung dieses Punktes haltbar machen. 

* Browser-Lesezeichen: Aktiviert ihr diesen Punkt, dann 
bleiben die Bookmarks erhalten. 

* Drucker: Eure Druckerkonfiguration bleibt erhalten. 

* APT-Pakete: Habt ihr auf dem Tails Stick eigene Soft¬ 
ware installiert, so ist diese normalerweise nach einem 
Reboot verschwunden. Aktiviert ihr diesem Punkt bleibt 
sie erhalten. 

* APT-Listen: APT ist eine oder besser die Software - 
verwaltung von Debian, aus welchem Tails besteht. APT 
pflegt Listen von Softwarepaketen, die installierbar sind 
inklusive der Versionsnummern, sodass veraltete Pake- 
te erkannt werden. Wenn ihr eigene Software installiert, 
dann aktiviert auch diesen Punkt. 
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* Punktdateien: Tails bringt eine Menge Programme mit. 
Passt ihr deren {Configuration an, dann werden diese in 
sogenannte Punktdateien (dot-files) gespeichert. Akti- 
viert diesen Punkt, wenn ihr eure individuellen Anpas- 
sungen behalten wollt und diese nicht durch die oben 
genannten Punkte bereits abgedeckt sind. 



Anpassen und Loschen des Persistent Volume 



Den oben beschriebenen Konfigurationsdialog bekommt 
ihr unter Anwendungen ►Tails ^Configure persistent Volu¬ 
me. 


Solltet ihr euer persistent Volume loschen wollen, dann 
wahlt Anwendungen ► Tails ► Delete persistent Volu¬ 
me. 


Wenn ihr jetzt auf “Loschen” klickt sind die Daten in dem 
persistenten Volume unwiederbringlich weg! Ihr konnt 
zu einem spateren Zeitpunkt die ganze Prozedur wieder- 
holen, um ein neues persistentes Volume zu erzeugen. 





Tails bastandiga Speicherpartition erstallen 

Speicherpartitions-Assistent - Loschen der bestandigen Speicherpartition 

A Ihre bestandigen Daten werden geldscht. 

Die bestandige Speicherpartition /dev/sdb2 (4.79GiB), 
auf dem TOSHIBA TransMamory Gerat wird geloscht. 


Benutzung des Persistent Volume 

Damit ihr das Persistent Volume benutzen konnt, miisst 
ihr rebooten. Im Anfangsdialog werdet ihr gefragt, ob 
ihr das Persistent Volume benutzen wollt. Bejaht das und 
gebt das Passwort ein. Fertig. 


Daten von Hand vom Persistent Volume 
auf ein anderes Speichermedium kopieren 

Falls ein Upgrade auf eine neu Tails-Version Probleme be- 
reitet und ihr manuell einen neuen (anderen) Tails-Stick 
erzeugt, dann miissen eure Einstellungsdateien und eure 
Daten auf den persistenten Speicherbereich des neuen 
Sticks kopiert werden. Wir beschreiben hier, wie das geht: 

Sichern der Dateien vom alten Tails-Medium: 

l.SchlieBt das alte Tails-Medium an, von welchem Sie 
Ihre Daten sichern mochtet. 

2. Wahlt Anwendungen ► Hilfsprogramme ► Laufwerke. 

3. Wahlt im linken Fensterbereich das Medium aus, wel¬ 
ches dem alten Tails-Medium entspricht. 

4. Wahlt im rechten Fensterbereich die Partition mit dem 
Typ LUKS aus. Der Name der Partition muss TailsData 
lauten. 

5. Klickt auf die Schaltflache Entsperren (Schlosssymbol), 
um das alte Persistent Volume zu entsperren. Gebt die 
Passphrase des alten Volumes ein und klickt auf Entsper¬ 
ren. 

6. Wahlt die Partition TailsData aus, die unter der 
LUKS-Partition erscheint. 

7. Klickt auf die Schaltflache Einhangen (►). Das alte Per¬ 
sistent Volume ist nun unter /media/amnesia/TailsData 
eingehangt. 

Kopieren der alten Dateien 
in das neue Persistent Volume: 

1. Wahlt Anwendungen ► Systemwerkzeuge ► Root Termi¬ 
nal aus, um ein Terminal mit Administrationsrechten zu 
offnen. 

2. Gebt den Befehl nautilus [Enter] ein, um den Datei- 
manager mit Administrationsrechten auszufiihren. 

3. Navigiert im Dateimanager zu /media/amnesia/Tails- 
Data , um das alte Persistent Volume zu offnen. 

4. Wahlt in der Titelleiste Menu ► Neuer Reiter aus und 
navigiert in diesem neuen Reiter zu dem Ordner /live/ 
persistence/TailsDatajunlocked. 

5. Wahlt den TailsData-Reiter aus. 

6. Um einen Ordner, der persistente Daten enthalt, vom 


































alten Persistent Volume in das neue zu kopieren, zieht 
diesen Ordner aus dem Reiter TailsData und lasst ihn 
iiber dem Reiter TailsData_unlocked los. 

Wahlt beim Kopieren von Ordnern die Option Diese 
Aktion aufalle Dateien anwenden und klickt auf Zusam- 
menfuhren , um es auf alle Unterordner anzuwenden. An- 
schlieCend konnte es notwendig sein, die Option Aktion 
aufalle Dateien anwenden auszuwahlen und auf Ersetzen 
zu klicken, um sie auf alle Dateien anzuwenden. 

Kopiert am besten nur die Ordner von denen Funktio- 
nen, die ihr beim Anlegen des alten persistent Volumes 
aktiviert hattet: 

• Der apt- Ordner entspricht der APT Pakete und APT 
Listen Funktion des bestandigen Speicherbereichs. 
Aber sie benotigen Administrationsrechte, um im- 
portiert zu werden und dies sprengt den Rahmen 
dieser Dokumentation. Dieser Ordner enthalt keine 
personlichen Daten. 

• Der bookmarks- Ordner enthalt die Lesezeichen des 
Browsers. 

• Der cups-configuration- Ordner enthalt eure person- 
lichen Drucker-Einstellungen. 

• Der dotfiles- Ordner (Punktdateien) beinhaltet ver- 
steckte System-Konfigurationsdateien. 

• Der electrum- Ordner enthalt die BitCoin-Einstel- 
lungen. 

• Der gnome-keyring- Ordner und der gnupg- Ordner 
enthalten die pgp-Schliissel. 

• Der icedove- Ordner enthalt die Mail-Einstellungen 
samtlicher Mail-Konten, die ihr mit Icedove verwal- 
tet. 

• Der nm-connections- Ordner enthalt die gemachten 
Netzwerk-Einstellungen. 

• Der openssh-client- Ordner enthalt SSH-Schliissel. 

• Der Persistent-Ordner entspricht der Personliche 
Dateien Funktion des bestandigen Speicherbereichs. 
Den benotigt ihr in jedem Fall! 

7. SchlieBt nach dem Durchfuhren der Kopie den Datei- 
manager. 

8. Fiihrt folgenden Befehl im Terminal aus, um die Nut- 
zungsrechte der personlichen Dateien zu reparieren: 

find /live/persistence/TailsData_unlocked/ -uid 
1000 -exec chown -R 1000:1000 '{}' \f 

[Enter] 
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Icedove - Mailen mit Persistenz 

Tails enthalt das Mailprogramm Mozilla Thunderbird un- 
ter dem Namen Icedove. Mit Icedove und der Persistenz 
von Tails konnt ihr Mails schreiben, lesen, verschliisseln, 
entschliisseln und eure Mails, Schliissel und Einstellun- 
gen verschliisselt auf dem Tails Stick speichern. Somit 
konnt ihr auf diese auch nach einem Neustart zugreifen. 
Voraussetzung dafur ist, dass ihr beim Erstellen des per- 
sistenten Speichers GnuPG und Icedove aktiviert habt. 

Icedove startet ihr entweder iiber das Icon links in der 
Toolbar oder unter Anwendungen ► Internet ► Icedove. 
Beim ersten Start fiihrt euch ein Setup-Assistent durch 
die Konfiguration eures E-Mail-Postfaches. Es miissen 
zuerst der Name und die E-Mail-Adresse eingegeben 
werden. Das Passwortfeld kann freigelassen werden und 
die Passwort speichern Checkbox sollte nicht mit einem 
Hakchen markiert sein, da euer Passwort nicht gespei- 
chert werden soli. Mit dieser Einstellung werdet ihr nach 
jedem Start des Programms nach eurem Passwort gefragt. 

Sollen die E-Mails aus dem Postfach auch von anderen 
Menschen mit anderen Computern abgerufen werden 
konnen, muss als Protokoll IMAP ausgewahlt werden, 
ansonsten empfehlen wir das Protokoll POP3 bei dem die 
E-Mails vom Server heruntergeladen werden und danach 
nur auf dem verschliisselten Stick vorhanden sind 




Konto einrichten 



ihr Name: 

Capulcu Kollektiv 


eren Personen gezeigt v 


E-Mail-Adresse: 

capulcu@nadir.org| 




Passwort: 

Passwort 





□ Passwort speichern 




Protocol: 

POP3 v 







Abbrechen 

Weiter 







Nachdem ihr auf Weiter geklickt habt, erscheint eine 
Meldung, die euch sagt, dass die weitere automatische 
Konfiguration deaktiviert wurde, um eure Privatsphare 
zu schiitzen. Dies konnt ihr bestatigen. Nun beginnt die 
eigentliche Konfiguration: 

Wisst ihr die Werte fur den Server, Port und Benutzer- 
name fur eure E-Mail-Adresse nicht auswendig, konnt 
ihr entweder in eurem bisherigen Mail-Programm wie 
Thunderbird oder auf der Internetseite eures Mailanbie- 
ters diese Einstellungen nachschauen. Wichtig ist, dass 
bei Verbindungssicherheit entweder der SSL/TLS oder 
STARTTLS ausgewahlt wird. Die Authentifizierungsme- 
thode konnt ihr meist einfach auf Passwort , normal be- 
lassen. Beide Angaben konnt ihr aber ebenfalls in eurem 
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bisherigen Mail-Programm oder auf der Internetseite eu- 
res Mailanbieters nachschauen. Wir empfehlen die funf 
Hakchen in der Rubrik Server-Einstellungen zu entfernen. 
In der Rubrik Nachrichtenspeicher miisst ihr keine Ver- 
anderungen vornehmen, konnt aber auswahlen, dass bei 
jedem Verlassen der Papierkorb geleert wird. Das hat den 
Vorteil, dass geloschte Mails mit sensiblen Daten nicht 
noch weiter gespeichert werden. 



Unter den Meniipunkten Kopien & Ordner, Verfassen & 
Adressieren, Junk-Filter und Speicherplatz miissen keine 
Anderungen vorgenommen werden. 

Unter dem Meniipunkt OpenPGP-Sicherheit solltet ihr 
folgende Anderungen vornehmen: 



Der oberste Haken bei OpenPGP-Unterstutzung (Enig- 
mail) fur diese Identitat aktivieren muss gesetzt werden. 
Danach sollte E-Mail-Adresse dieses Kontos verwenden, 
um OpenPGP-Schliissel zu identifizieren ebenfalls ausge- 
wahlt werden. Wir empfehlen die drei Einstellungen 
Nachrichten standardmafiig verschlusseln, PGP/MIME 
standardmafiig verwenden und Nachrichten-Entwilrfe ver- 
schliisselt speichern zu aktivieren und die drei restlichen 
Einstellungen deaktiviert zu lassen. 


Unter den Meniipunkten Empfangsbestdtigungen, S/MI- 
ME-Sicherheit und in den Unterpunkten des Lokalen Ord- 
ners miisst ihr keine Anpassungen vornehmen. Es bleibt 
die Konfiguration des Postausgangs-Servers (SMTP): 

Nachdem ihr den Meniipunkt angeklickt habt, erscheint 
rechts eine als Standard markierte Konfiguration. Diese 
bearbeitet ihr mit einem Klick auf Bearbeiten und erhaltet 
folgendes Fenster: 

SMTP-Server 

Einstellungen 

Beschreibung: 

Server: smtp.nadir.org 

Port: 465 A Standard: 465 

Sicherheit und Authentifizierung 

Verbindungssicherheit: SSL/TLS v 

Authentifizierungsmethode: Passwort, normal v 

Benutzername: capulcu 

Abbrechen OK 

Hierbei kann die Beschreibung leer gelassen werden. Die 
hier weiter benotigten Einstellungen bekommt ihr alle 
von der Internetseite eures Mailanbieters oder ihr schaut 
welche Einstellungen ihr bisher in eurem E-Mailpro- 
gramm stehen habt. 

Wichtig ist hierbei wieder, dass bei dem Punkt Verbin¬ 
dungssicherheit entweder SSL/TLS oder STARTTLS aus- 
gewahlt ist. Der Name des SMTP-Servers beginnt oft mit 
smtp und der zugehorige Port lautet oft 465. Die Authenti¬ 
fizierungsmethode kann meist unverandert iibernommen 
werden. Der Benutzername ist meist entweder die gesam- 
te Mail-Adresse oder der erste Teil dieser. 

Nun ist die E-Mail-Adresse fertig konfiguriert und sowohl 
das Fenster der SMTP-Server-Konfiguration als auch die 
Konteneinstellungen konnen mit OK bestatigt werden. 

Nun fehlt nur noch die Einrichtung der GPG/PGP-Ver- 
schliisselung. Die Schliisselverwaltung wird in Icedove 
mit dem Plug-in Enigmail durchgefiihrt. Um neue Schliis- 
sel hinzuzufiigen geht ihr rechts im Anwendungsmenii 
von Icedove auf Enigmail ► Schliissel verwalten ... 


Enigmail-Schliissel verwalten - □ X 

Datei Bearbeiten Anzeigen Schliisselserver Erzeugen 

Suchen nach: Q, la/StandardmaBig alle Schliissel anzeigen 





























Habt ihr bereits ein Schliisselpaar, das ihr weiterverwen- 
den wollt, oder mochtet ihr offentliche Schliissel von 
Freunden hinzufiigen, dann habt ihr zwei Moglichkei- 
ten. Entweder ihr kopiert die Schliissel in einem ande- 
ren Programm wie zum Beispiel einem Texteditor in die 
Zwischenablage, dann konnt ihr sie mit Bearbeiten ► Aus 
Zwischenablage einfiigen hinzufugen. Die zweite Mog- 
lichkeit ist, die Schliisseldatei mit Datei ► Importieren 
hinzuzufiigen. Dabei miisst ihr unter Umstanden in dem 
Datei Offnen Dialog rechts unten Alle Dateien zum Anzei- 
gen auswahlen, da sonst nur Dateien mit der Endunggpg 
angezeigt werden. 

Habt ihr noch kein eigenes Schliisselpaar, konnt ihr dieses 
unter Erzeugen ► Neues Schliisselpaar nun erstellen: 

OpenPGP-Schlussel erzeugen _ □ X 

Konto / Benutzerkennung Capulcu Kollektiv <capulcu@nadir.org> - capulcu@nadir.org v 

^Schliissel zum Unterschreiben verwenden 

□ Keine Passphrase 

Passphrase ••••••••••••••••••• Passphrase (wiederholen) ••••••••••••••••••• 

Kommentar 

- 1 - 1 

Ablaufdatum Erweitert ... 

Schliissel wird ungultig in 2 Jahren v □ Schliissel wird nie ungiiltig 


Schliisselpaar erzeugen Abbrechen 

Konsole zum Erzeugen eines Schliissels 

ACHTUNG: Das Erzeugen eines Schliissels kann mehrere Minuten dauern. Beenden Sie die 
Anwendung wahrend dieser Zeit nicht. Da der Zufallsgenerator von Aktivitat auf dem Rechner 
abhangt, wird empfohlen z.B. im Webbrowser aktiv zu surfen, urn das Erzeugen eines Schliissels zu 
beschleunigen. Sie werden informiert, sobald der Schliissel fertiggestellt ist. 

Hier sollte das Hakchen bei Schliissel zum Unterschreiben 
verwenden gesetzt sein und die Passphrase nach den Re- 
geln des Kapitels zu Passwortsicherheit gewahlt werden. 
Der Kommentar muss nicht ausgefiillt werden. Das Ab¬ 
laufdatum sollte nicht zu groB gewahlt werden, also je 
nach Verwendung der E-Mail-Adresse nicht liber 4 Jahre, 
denn sollte jemals der private Schliissel und die Passphra¬ 
se in falsche Hande gelangen, konnen alle Mails aus dieser 
Zeit entschliisselt werden. 

Die Hakchen bei Keine Passphrase und Schliissel wird nie 
ungiiltig sollen niemals gesetzt werden! Unter dem Reiter 
Erweitert ... ist darauf zu achten, dass die Schliisselstar- 
ke 4096 betragt. Sind alle Einstellungen gesetzt, kann das 
Schliisselpaar erzeugt werden. Dies muss noch einmal 
mit Schliissel erzeugen bestatigt werden. Die Erzeugung 
kann einige Zeit in Anspruch nehmen. Es folgt eine Fra- 
ge ob ein Widerrufzertifikat erstellt werden soli. Dieses 
konnt ihr erstellen und auf dem Stick verschliisselt spei- 
chern. Ihr benotigt es nur, wenn euer privater Schliissel in 
fremde Hande gelangt ist. 



Nun seht ihr in der Schlusseliibersicht neben den Schliis- 
seln von Tails, die von euch hinzugefiigten oder erstellten 
Schliissel. Einzelne Schliissel konnt ihr mit der rechten 
Maustaste ► In Datei Exportieren in einer Datei spei- 
chern. Achtet darauf, dass ihr nur den offentlichen (nicht 
den privaten) Schliissel exportiert, wenn ihr diesen wei- 
tergeben wollt. 

Wenn ihr das Enigmail Schliissel verwalten Fenster nun 
schlieBt, konnt ihr mit einem Klick auf Verfassen eine 
neue E-Mail verfassen. 

Verfassen: (kein Betreff) .ox 

Datei Bearbeiten Ansicht Optionen Enigmail Extras Hilfe 
§j>l Senden Rechtschr. v ^Anhang v Q S/MIME v |fj§|| Speichern v 

Enigmail: f (0 Meinen offentlichen Schliissel anhangen Nachricht wird verschLiisselt. 

Von: Capulcu Kollektiv <capulcu@nadir.org> apulcu@nadir org 


Betreff: 


Wichtig ist beim Verfassen einer E-Mail, dass der Button 
neben dem Text Enigmail ein geschlossenes Schloss zeigt 
und der Text Nachricht wird verschliisselt am Ende dieser 
Zeile angezeigt wird, wie auch oben zu sehen ist. Wollt 
ihr die Nachricht zusatzlich signieren, konnt ihr das mit 
einem Klick auf den Stiff machen. Wollt ihr euren offent¬ 
lichen Schliissel an die Mail hangen, so dass die Emp- 
fanger*in euch auch wieder verschliisselt zuriickschrei- 
ben kann, klick die Biiroklammer an. Wollt ihre andere 
offentliche Schliissel anhangen, konnt ihr diese in dem 
Menii Enigmail ► Offentliche Schliissel anhangen auswah¬ 
len. Sendet ihr die Mail und habt Signieren ausgewahlt, 
miisst ihr zuerst eure GPG/PGP Passphrase eingeben und 
darauf dann euer E-Mail-Passwort. Schickt ihr die Mail 
ohne sie zu signieren, miisst ihr nur euer E-Mail-Pass- 
wort eingeben. 

Beim Abrufen der Mails miisst ihr zuerst auch euer 
E-Mail-Passwort eingeben und falls ihr verschliisselte 
Mails bekommen habt, werdet ihr noch der GPG/PGP 
Passphrase gefragt. Beim Betrachten von eingegangenen 
Mails symbolisiert ein geschlossenes Schloss am oberen 
Rand der Nachricht, dass die Nachricht verschliisselt ist, - 
ein Briefumschlag, dass diese signiert ist. 
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Anhang 

Hier stellen wir euch vor, wie ihr die jeweils aktuelle Ver¬ 
sion von Tails herunterladen und ilberprilfen! konnt, um 
daraus eine(n) „bootfahige“ Tails-DVD, USB-Stick bzw 
SD-Karte zu erstellen. 

Da einige, abhangig vom Rechner und dessen BIOS-Ein- 
stellmoglichkeiten, Schwierigkeiten beim Booten von ei- 
nem der Startmedien haben, gehen wir kurz auf die hau- 
figsten Fallstricke ein. 

Falls euch (wider Erwarten) dennoch das erstmalige Star- 
ten von Tails nicht gelingen sollte, holt euch einmalig Hilfe 
bei der BIOS-Einstellung, oder bei der Uberpriifung der 
Tails-Version auf ihre Echtheit - das ist kein hinreichen- 
der Grund, auf die viel einfachere Benutzung von Tails zu 
verzichten! 

AbschlieBend geben wir euch Tipps zur Wahl und Hand- 
habung von moglichst sicheren Passwortern. 


Wie bekomme ich Tails 

Im Kapitel „Warnung: Grenzen von Tails' haben wir die 
Praxis von Man-in-the-Middle- Angriffen diskutiert, bei 
denen sich die Angreifer*in in die Datenstrome hangt, um 
sie zu kontrollieren und/oder zu manipulieren. Insbeson- 
dere beim Herunterladen von Software ist daher darauf 
zu achten, deren „Echtheit“ zu iiberprufen. Andernfalls 
kann euch leicht ein manipuliertes Tails untergeschoben 
werden. 

Wer auf eine bereits uberpriifte Version von Tails zuriick- 
greifen kann, hat es mit dem nun folgenden Kapitel Tails 
Installer zum Erzeugen eines neuen / weiteren Tails-Stick 
leicht. Im Kapitel Tails Upgrader lernt ihr, wie ihr Euer 
Tails automatisch aktuell haltet. 

Danach lernen alle anderen, die Uberpriifung und Er- 
stellung eines Tails-Startmediums eigenstandig zu erledi- 
gen. Dieser Teil der Anleitung mag euch kompliziert er- 
scheinen - aber ihr diirft ihn nur dann ignorieren, wenn 
euch eine Person eures Vertrauens mit einer „gepruften“ 
Tails-Version versorgt hat. 


T ails-lnstallationsprogramm 


Klonen 

& 

Installieren 


Klonen 

& 

AktuaLisieren 


Von ISO aktualisieren 


Das Klonen eines laufenden Tails auf 
ein Speichermedium hat zur Folge, 
dass alle Daten auf dem Ziellaufwerk 
verloren gehen. 

Das laufende Tails auf ein 
Speichermedium mit bereits 
installiertem Tails kopieren. Andere 
gefundene Partitionen auf dem 
Medium werden beibehalten. 


Ein bereits installiertes Tails-Gerat, 
von einem neuen ISO-Abbild, 
aktualisieren. 


Hilfe notig? Dann die Dokumentation lesen . 


„Klonen & Installieren" bzw. „ Install by cloning" wahlt ihr 
aus, wenn ihr die Tails Version des laufenden System auf 
einen anderen USB-Stick ubertragen wollt. Alle Daten auf 
dem anderen USB-Stick werden dabei geloscht. Es wird 
ausschlieBlich das Tails System ubertragen, nicht eventu- 
ell vorhandene Daten der Tails-Persistenz. 

„Klonen & Aktualisieren" bzsw. „ Upgrade by Cloning C( 
wahlt ihr aus, wenn auf dem zu beschreibenden USB- 
Stick bereits ein Tails-System vorhanden ist und ihr dieses 
nur mit dem aktuelleren Tails, von dem ihr gerade gestar- 
tet habt, uberschreiben mochtet. Eventuell vorhandene 
Daten der Tails-Persistenz werden auf dem Datentrager 
nicht iiberschrieben. Auch hier werden keine Daten der 
Tails-Persistenz des aktuell gestarteten Systems ubertra¬ 
gen. 

yon ISO aktualisieren" bzw. „Upgradefrom ISO" wahlt ihr 
aus, wenn auf dem zu beschreibenden USB-Stick bereits 
ein Tails-System vorhanden ist und ihr dieses mit einem 
heruntergeladenen ISO-Abbild einer neueren Tails Versi¬ 
on uberschreiben mochtet. 


T ails-lnstallationsprogramm 


Q 


U'Tails 



Tails-lnstaller 

Wenn ihr schon ein lauffahiges Tails-System auf einem 
USB-Stick oder einer DVD habt und einen weiteren USB- 
Stick (keine DVD) erstellen wollt, konnt ihr den „Tails 
Installer" verwenden. Den „Tails Installer" findet ihr unter 
Anwendungen ► Tails ► Tails Installer. Wenn ihr ihn star¬ 
ted erhaltet ihr den folgenden Bildschirm, auf dem ihr 
zwischen drei Moglichkeiten auswahlen konnt: 


Spatestens nachdem ihr euch fur eine Funktion entschie- 
den habt, miisst ihr den USB-Stick einstecken, der das 
neue Tails-System erhalten soil. Um zu vermeiden, den 
falschen USB-Stick zu loschen, solltet ihr darauf achten, 
dass auBer dem originalen und dem zukiinffigen Tails- 
Stick keine anderen USB-Sticks oder SD-Karten einge- 
steckt sind. Ist dies der Fall, wird im nachsten Fenster als 
„Zielmedium" nur eine Option, euer eingesteckter USB- 
Stick, vorhanden sein (siehe Abbildung). Andernfalls 
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muss der gewiinschte USB-Stick als Zielmedium ausge- 
wahlt werden. Nachdem ihr nun auf „Tails installieren c 
geklickt habt, miisst ihr noch einmal bestatigen, dass ihr 
auch wirklich diesen Stick iiberschreiben mochtet. Da- 
nach kann die Erstellung des neuen Sticks ein paar Minu- 
ten in Anspruch nehmen. AusschlieBlich bei der dritten 
Option „Von ISO aktualisieren“ miisst ihr zusatzlich noch 
das zu verwendende, bereits heruntergeladene Live-Sys- 
tem-ISO-Abbild auswahlen. 


Tails-Upgrader 

Bei jedem Start von Tails wird, direkt nachdem die Ver- 
bindung zu dem Toi*-Netzwerk hergestellt wurde, iiber- 
priift, ob die aktuelle Tails Version verwendet wird. 

Es ist wichtig, immer die aktuelle Version zu ver- 
wenden, da regelmdfiig Sicherheitsliicken in den 
von Tails verwendeten Programmen entdeckt 
werden, die im schlimmsten Fall dazu fiihren, 
dass eure Identitdt, eure IP-Adresse, etc nicht ver- 
schleiert werden. Durch ein Tails Upgrade wer¬ 
den diese Sicherheitsliicken gestopft und meist 
auch andere Fehler behoben. 


betroffen und bleiben weiterhin bestehen. Falls ein Stick 
mit Schreibschutzschalter verwendet wird, miisst ihr die¬ 
sen natiirlich fur die eine Sitzung, in der ihr das Upgrade 
durchfiihrt, auf beschreibbar stellen. 


Upgrade available 
You should upgrade to Tails 1.2. 

For more information about this new version, go to https://tails.boum.org/news/ 
version. 1.2/ 

It is recommended to close all the open applications during the upgrade. 
Downloading the upgrade might take a long time, from several minutes to a few 
hours. 

The networking will be disabled after downloading the upgrade. 

Download size: 190.77MiB 
Do you want to upgrade now? 






Bekommt ihr allerdings nach dem Start von Tor die Mel- 
dung „Nicht geniigend Speicher vorhanden, um nach 
Aktualisierungen zu suchen." hat euer Rechner zu wenig 
Arbeitsspeicher oder ihr habt schon speicherhungrige 
Programme wie LibreOffice oder den Tbi^-Browser ge- 
startet. In diesem Fall kann es helfen, nach einem Neu- 
start und der Meldung „Tor ist bereit" zunachst keine 
weiteren Programme zu starten. 


Falls ihr Tails mit DVD verwendet oder Tails manuell auf 
den USB-Stick gespielt habt ohne die Verwendung des 
Tails Installers, bekommt ihr die Meldung „You should do 
a manual Upgrade" Das heiBt ihr solltet manuell eine 
neue Version von Tails herunterladen, iiberpriifen und 
auf DVD brennen oder einen USB-Stick spielen. 

New version available 
You should do a manual upgrade to Tails 1.2. 

W 

For more information about this new version, go to https://tails.boum.org/news/ 
version. 1.2/ 

It is not possible to automatically upgrade your device to this new version: Tails was 
started from a DVD or a read-only device. 

To learn how to do a manual upgrade, go to https://tails.boum.org/doc/first_steps/ 
upgrade/ttmanual 

1 ni< 1 

Habt ihr jedoch euer Tails mit dem Tails Installer auf ei¬ 
nen USB-Stick gespielt, habt ihr nun Gluck, denn in die¬ 
sem Fall macht der Tails Upgrader fur euch die Arbeit. 
Ihr werdet gefragt ob ihr ein Upgrade sofort oder spater 
durchfuhren wollt. Wenn ihr auf „Upgrade Now" klickt, 
wird das Upgrade automatisch heruntergeladen und 
iiberpriift. Dies erspart euch die aufwendigere Uberprii- 
fung der Checksumme, die ihr durchfuhren solltet, wenn 
ihr ein ISO-Abbild herunterladet. Wenn der Down- 
load-Vorgang beendet ist, wird das Upgrade auf eurem 
USB-Stick installiert. Nach einem Neustart ist das 
Tails-System auf dem aktuellen Stand. Daten auf einer 
eventuell vorhandenen Tails-Persistenz sind davon nicht 


Digitale Signaturen 

Durch digitale Signaturen kann die „Echtheit“ einer 
Software uberpruft werden. Hierfiir wird der offentliche 
PGP-Schliissel des Entwickler-Teams benotigt, mit dem 
die Software unterschrieben wurde. Die Unterschrift ga- 
rantiert, dass es sich um eine unveranderte Version der 
bezogenen Software handelt. 

Wenn ihr euch z.B. die aktuelle Version der Live-DVD 
Tails besorgt, findet ihr im Download-Bereich eine ent- 
sprechende Signatur mit der ihr die „Echtheit“ der Soft¬ 
ware iiberpriifen konnt. Dafiir benotigt ihr noch den 
PGP-Schlussel der Entwickler*innen, der ebenfalls auf 
der Download-Seite erhaltlich ist. Nach erfolgreichem 
Import dieses Schliissels konnt ihr liber grafische Tools 
oder liber eine sogenannte Kommandozeile die Authenti- 
zitat der Software iiberpriifen. Wie dies funktioniert stel¬ 
len wir euch in den nachsten Kapiteln vor. 

Theoretisch ware es durch einen Man-in-the-Middle-An- 
griff trotzdem noch moglich, euch eine falsche Signatur 
und eine dafiir angepasste Software, sowie einen falschen 
Schliissel zu iibermitteln. Ein Weg dies zu umgehen, ist 
die Software und deren Signatur iiber verschiedene Netz- 
werke zu besorgen - z.B. einmal von eurer Arbeit aus, 
dann von eurem Anschluss zu Hause und ein zusatzliches 
mal iiber Tor. 
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Tails herunterladen und uberprufen 

Die Echtheit eurer heruntergeladenen Tails-Ver- 
sion solltet ihr iiber die PGP-Signatur der 
Tails-Entwickler*innen uberprufen. Wir be- 
schreiben im Folgenden das Vorgehen fiir Linux- 
und Mac-NutzerHnnen. 


Tails liegt auf dem Server https://tails.boum.org zum 
Download bereit. Leider ist es moglich, dass eine An- 
greiferln die Daten auf dem Weg zu euch abfangt und 
modifiziert. Wir beschreiben im Folgenden, wie ihr eine 
solche Modifikation sicher identifizieren konnt und des- 
halb auch sicher sein konnt, dass die Daten, die ihr run- 
tergeladen habt, auch die richtigen sind. Wir beschreiben 
das hier fiir Linux und MacOSX Userlnnen - Windows 
Userinnen miissen wir auf die Anleitung auf https://tails. 
boum.org verweisen. 

Ihr braucht drei Dateien, die ihr vom Tails-Server runter- 
laden miisst: 

• Das Image der Tailssoftware selbst 

• Die Signatur, welche die Echtheit bestatigt 

• Den public-key der Tails-Entwickler*innen, mit 
dem die Signatur gemacht wurde 

Ihr konnt das mit dem Webbrowser machen oder von der 
Kommandozeile aus - zuerst laden wir den public-key 
und binden ihn ein: 

Fiir Eingaben per Kommandozeile miisst ihr zunachst 
ein terminal offnen. Die Kommandozeilen in diesem Heft 
sind alle ohne Silbentrennung gedruckt; d.h. ihr miisst 
alle Minus-Zeichen auch am Zeilenende eintippen. Ihr 
findet diese Anleitung auch auf unserer Webseite https:// 
capulcu.blackblogs.org. , sodass ihr die Kommandos auch 
dort mit der Maus in die Zwischenablage kopieren und 
im terminal einfugen konnt. Die Kommandozeilen-Ein- 
gabe wird jeweils mit der Eingabetaste [ENTER] abge- 
schlossen. 

Linux 

1) Tails-Schlussei herunterladen und importieren: 

wget https://tails.bourn.org/tails-signing.key 
[ENTER] 

gpg --import tails-signing.key 
[ENTER] 

Die Ausgabe sollte wie folgt aussehen: 

gpg: key DBB802B258ACD84F: public key „Tails 
developers (offline long-term identity key) 
<tails@boum.org>" imported 

gpg: Total number processed: 1 

imported: 1 (RSA: 1) 


(wenn du den Schliissel das erste Mai importierst) 
oder 

gpg: key DBB802B258ACD84F: „Tails developers 
(offline long-term identity key) <tails@boum. 
org>" not changed 

gpg: Total number processed: 1 

gpg: unchanged: 1 

(wenn der Schliissel bereits importiert war) 

Wir iiberpriifen nun, ob der importierte Key echt, d.h. 
unverandert ist: 

gpg --fingerprint 0xDBB802B258ACD84F | grep 
fingerprint [ENTER] 

Key fingerprint = A490 D0F4 D311 A415 3E2B B7CA 
DBB8 02B2 58AC D84F: 

Die Ausgabe bei euch muss identisch sein, andernfalls ist 
das schief gegangen. 

In diesem Fall loscht den falschen Key mit 

gpg --delete-key DBB802B258ACD84F 

und versuche diese Prozedur von einem anderen Internet- 
Anschluss aus nochmal. Auf keinen Fall mit dem falschen 
Key weitermachen! 

2) Tails herunterladen: (>1GB - das dauert eine Weile) 

Dazu mit dem Webbrowser auf die Seite 

https://tails.boum.org/install/download/openpgp/index. 

en.html 

gehen und die Software hinter dem Link „ Download 
the Tails 2.11 ISO image (1.2 GiB ).“ runterladen. Beim 
Schreiben dieses Textes ist 2.11 die aktuelle Version, das 
wird sich natiirlich im Laufe der Zeit andern. 

3) Tails-Signatur herunterladen: 

Auf der gleichen Seite findet ihr den Link „ Download 
the Tails 2.11 OpenPGP signature \ ladet diese (aktuell: 
tails-i386-2.11.iso.sig) runter. 

4) Tails mit der Signatur uberprufen: 

Jetzt zum magischen Schritt: die Uberpriifung der Sig¬ 
natur und damit die Sicherstellung, ob die Tails-Software 
modifiziert wurde oder nicht. 

gpg --verify tails-i386-2.11.iso.sig 
tails-i38 6-2.11.iso [ENTER] 

Die Ausgabe sollte nach zusatzlichen gpg-Statusmeldun- 
gen wie folgt aussehen: 

gpg: Signature made Mon 25 Apr 2016 07:02:56 
PM CEST 

gpg: using RSA key 0x98FEC6B- 

C752A3DB6 

gpg: Good signature from „Tails developers 
(offline long-term identity key) <tails@boum. 
org> 

gpg: 


gpg: 


aka „Tails developers 
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<tails@boum.org>" 

gpg: WARNING: This key is not certified with a 
trusted signature! 

gpg: There is no indication that the 

signature belongs to the owner. 

Primary key fingerprint: A490 D0F4 D311 A415 
3E2B B7CA DBB8 02B2 58AC D84F 

Subkey fingerprint: BA2C 222F 44AC OOED 
9899 3893 98FE C6BC 752A 3DB6 

ACHTUNG: Uberpriife, ob „Good signature ... <£ erscheint. 
Wenn dem so ist, und nur dann(!), fahre fort. Andernfalls, 
entferne die heruntergeladenen Dateien (mit dem 
Kommando rm tails-i386-2.11. iso [ENTER]), 
wechsele den Ort bzw. die Internetverbindung und lade 
Tails erneut herunter 

exit [ENTER] (Terminal wird geschlossen) 


Ubuntu-Linux 

sudo add-apt-repository ppa:tails-team/tails- 
installer [ENTER] 

[PASSWORT EINGEBEN] [ENTER] 

sudo apt-get update [ENTER] 

sudo apt-get -y install tails-installer 
syslinux-common [ENTER] 

exit [ENTER] (das Terminal wird geschlossen) 

Weiter geht es fur alle Linux-Varianten mit der Erstellung 
des Tails-USB-Sticks. 

- Entferne alle moglicherweise an den Computer ange- 
schlossenen USB-Sticks, die du nicht als Tails-Stick ver- 
wenden mochtest 


Mac 

Wahrend bei alien Linux-Distributionen das Programm 
gpg bereits installiert ist, miissen MAC OS X-Nut- 
zer*innen einmalig das Programm gpgtools von https:// 
gpgtools.org herunterladen. 

Desweiteren verwenden MAC-Nutzer*innen das Kom¬ 
mando curl -o statt wget und zwar mit einem groBen 
„0“ - keine Null! Ansonsten sind alle vier Schritte des 
vorherigen Abschnitts identisch. 


Tails auf USB-Stick installieren 

Wir empfehlen, zur komfortablen Einrichtung eines 
Tails-USB-Sticks, das Programm „tails-installer“ zu be- 
nutzen, der seit den Linux-Distributionen Debian 8 und 
Ubuntu 15.10 zur Verfiigung steht. 

Du benotigst einen USB-Stick mit mindestens 4 GB Spei- 
cherplatz. ACHTUNG: Alle eventuell vorhandenen Da- 
ten auf diesem Stick werden geloscht! 63 Wir offnen wieder 
ein terminal , um die folgenden Kommandozeilen eintip- 
pen oder hinein kopieren zu konnen. 

Debian-Linux 

su - [ENTER] 

[PASSWORT EINGEBEN][ENTER] 

echo „deb http://ftp.debian.org/debian jessie- 
backports main" > /etc/apt/sources.list.d/ 
jessie-backports.list [ENTER] 

apt-get update [ENTER] 

apt-get -y instaii taii-instaiier sysiinux- 

common [ENTER] 

exit [ENTER] (das Terminal wird geschlossen) 


- SchlieBe den USB-Stick an den Computer an, der zu- 
kiinftig Tails-Stick werden soli. Erinnerung: Alle Daten 
werden auf diesem Stick geloscht! 

p 

- Starte das Programm „Tails-Installer“ 

- Klicke auf „InstaH“ 


Tails Installer X 

To run Tails Installer you need an ISO image which can be downloaded from the 
Tails website: https://tails.bourn.org/download/ 

• Install Tails on a new USB stick. 

Install 

• The USB stick that you install on is formatted and all data is lost. 

• Upgrade a Tails USB stick to the version of an ISO image. 

Upgrade • The encrypted persistent storage of the Tails USB stick that you 

upgrade is preserved. 

Need help? Read the documentation 


- Klicke auf den Button unter „Use existing Live System 
ISO). Ein Dateibrowser offnet sich, navigiere in das / 
home Verzeichnis deines Benutzers und klicke doppelt 
auf „tails-i386-2.11.iso“ oder eine entsprechend neuere 
Version (NICHT „tails-i386-2.11.iso.sig cc ). 

- In dem Feld unter „Target Device 44 sollte nun 
„ tails-i386-2.11. iso selected 44 stehen. 

- Klicke ganz unten auf „Install Tails 44 . Das dann erschei- 
nende Fenster fragt dich um Bestatigung, weil alle Daten 
auf dem USB-Stick geschloscht werden 

- Wenn du dir sicher bist, klicke „Yes 44 

- Andernfalls, klicke „No 44 , und wechsele den USB-Stick 

- Der nachfolgende Prozess dauert eine Weile. Auf keinen 
Fall den Stick ziehen! Danach konnt ihr den Tails-Instal- 
ler schlieBen. 


63 Ein Forensiker konnte die ehemaligen Daten problemlos wieder- 
herstellen. Daher nutze keinen Stick, auf dem zuvor unverschliisselte, 
sensible Daten gespeichert waren. 
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Mac 

Da es fur Mac OS X derzeit keinen Tails-installer gibt, 
miisst ihre das heruntergeladene und iiberpriifte Tails 
(aktuell: tails-i386-2.ll.iso) in einem Zwischenschritt auf 
DVD brennen. Wie das geht, ist im nachsten Kapitel er- 
klart. Mit der so gebrannten DVD konnt ihr nach dem 
ersten Tails-Start den dort vorhandenen Tails-installer 
benutzen um einen Tails-USB-Stick zu erzeugen. Erin- 
nerung: Zum Starten von Tails miisst ihr beim Booten 
die Alt-Taste gedriickt halten und Tails anschlieBend als 
Startvolume auswahlen. 


Tails auf DVD brennen 

Wer keinen USB-Stick fur das Tails-Betriebssystem benut¬ 
zen mochte oder kann, muss sich mit einer DVD behelfen. 
Vorteil: Die einmal gebrannte DVD ist automatisch gegen 
nachtragliche Veranderung ,,schreibgeschiitzt“. Nachteil: 
Ihr miisst fur jede aktuelle Tails-Version (etwa alle 2 Mona- 
te) eine neue DVD brennen. 

Nachdem ihr nun davon ausgehen konnt, dass ihr eine 
korrekte Version von Tails besitzt (z.B. tails-i386-2.11.iso) 
muss das Betriebssystem auf eine DVD gebrannt werden. 
Verwendet dafiir am besten eine nicht-wieder-beschreib- 
bare DVD mit der Bezeichnung: DVD + R. Sie sollte auf 
keinen Fall die Bezeichnung DVD + RW oder DVD + 
RAM besitzen. 

Linux 

Tails konnt ihr euch unter Ubuntu oder Debian auf DVD 
brennen, indem ihr mit der rechten Maustaste aus die 
iiberpriifte Tails.iso Datei (z.B. tails-i386-2.11.iso ) klickt 
und „Open With Brasero Disc Burner c („Mit Brasero off- 
nen c ) auswahlt. Mit einem Bestatigen fiber den Button 
„Create Image‘ („Abbild erstellen ( ) wird Tails auf eine 
DVD gebrannt. 64 

Mac 

Um Tails auf eine DVD zu brennen miisst ihr das „Festplat- 
tendienstprogramm c< unter „Programme/Dienstprogram- 
me u offnen und die Tails.iso Datei (z.B. tails-i386-2.11. 
iso) dort hinein ziehen. Danach kann das Live-System 
iiber den Button „Brennen“ auf eine DVD gebrannt wer¬ 
den. 

Alternativ konnt ihr Tails auch iiber das „Festplatten- 
dienstprogramm ( durch „► Images ► Brennen c dauerhaft 
auf eine DVD bringen. 


© o o 


tails-i386-1.0.iso 
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Wenn Sie ein Volume kopieren Oder ein Image auf einem Volume wiederherstellen 
mdchten, wahlen Sie das Quellvolume oder -Image, dann das Zielmedium und klicken Sie 
anschlie&end auf .Wiederherstellen". 

Um eine Quelle auszuwahlen, wahlen Sie eine der folgenden Optionen aus: 

• Um ein Image wiederherzustellen, das sich auf einem Volume befindet, klicken Sie auf 

• Um ein Image wiederherzustellen, das sich im Internet befindet, bewegen Sie es aus 
dem Web-Browser hierher oder geben Sie die entsprechende URL ein, beginnend mit 
.http://”. 

• Um ein Volume zu kopieren, bewegen Sie es aus der Liste links hierher. 

Quelle: 0 [tails-i386-1.0.iso | [ Image... ] 

Um ein Zielvolume auszuwahlen, bewegen Sie es aus der linken Liste in das 
Feld .Zielmedium". 


Bootreihenfolge im BIOS andern 

Um euren Rechner in die Lage zu versetzen, ein Betriebs¬ 
system von DVD bzw. vom USB-Stick starten (=„booten“) 
zu konnen, miisst ihr in der Regel die „Boot-Reihenfolge“ 
im sogenannten BIOS andern. Das BIOS ist sozusagen 
das Basis-Betriebssystem eines Rechners, das grundle- 
genden Rechnerfunktionen an/ausschaltet und festlegt, 
in welcher Reihenfolge beim Start auf welchen Datentra- 
gern nach bootfahigen Betriebssystemen gesucht werden 
soil. 


• Datentrager einlegen/einstecken und Computer neu 
starten. 

• Unmittelbar nach dem Start eine der Tasten FI, F2, 
DEL, ESC, F10 oder F12 gedriickt halten (auf einen 
Hinweis auf dem kurz erscheinenden Startbild- 
schirm achten), um in das BIOS-Setup zu gelangen. 
Die meisten Rechner bieten nur ein englisch-spra- 
chiges BIOS-Menii. Wir listen im Folgenden (abhan- 
gig vom Computerhersteller) die wahrscheinlichsten 
Tasten, um zu den BIOS-Einstellungen zu gelangen 65 : 


Acer 

Esc, F12, F9 

Asus 

Esc, F8 

Dell 

F12 

Fujitsu 

FI2, Esc 

HP 

Esc, F9 

Lenovo 

F12, Novo, F8, F10 

Samsung 

Esc, F12, F2 

Sony 

Fll, Esc, F10 

Toshiba 

F12 

andere 

FI2, Esc 


• Suche im Menu nach „Edit Boot Order iC (Boot-Rei- 
henfolge andern). 

• Setze den Eintrag „DVD“ oder aber einen der Eintra- 
ge „ removable drive “, external USB disk C( oder „USB 
media c an den Anfang der Liste der zu durchsuchen- 
den Gerate. Auf jeden Fall vor den Listeneintrag 
eurer internen Festplatte „HD“ oder „harddisk“. 

• Danach mit „Save changes and exit C( das BIOS ver- 
lassen und den Betriebssystemstart fortsetzen. Jetzt 
sollte der Rechner die geanderte Boot-Reihenfolge 
beriicksichtigen. 


64 Fur neuere Ubuntu-Versionen (nach 12.10) findet ihr eine Anlei- _ 

tung zum Erstellen der DVD unter folgender Webseite: https://help. 65 https://craftedflash.com/info/how-boot-computer-from-usb- 
ubuntu.com/community/BurninglsoHowto flash-drive 



















Booten„fremder Systeme" zulassen 

Falls Tails trotz geanderter Boot-Reihenfolge nicht star¬ 
ted und der Tails - Stick bzw. die Tails-DVD korrekt erstellt 
wurde 66 , dann iiberpriift bei neuerem Computer, ob ihr 
im BIOS eine der folgenden Funktionen linden und aus- 
wahlen konnt: 

• Enable Legacy mode 

• Disable Secure boot 

• Enable CSM boot 
. Disable UEFI 

• Disable Fastboot 


Wenn Tails nicht vom USB-Stick startet 

• Bootreihenfolge im BIOS iiberpriifen - sucht das 
BIOS wirklich auf einem externen USB-Gerat bevor 
die Festplatte durchsucht wird? 

• Altere Rechner (vor 2001) sind teilweise nicht in der 
Lage von USB zu „booten“. 

• Andere externe USB-Gerate zum Start abziehen. 

• Verwende einen anderen USB-Anschluss - Das 
BIOS mancher Rechner iiberpruft bei der Suche 
nach bootfahige Datentragern nur „die ersten“ der 
vorhandenen USB-Anschliisse. 

• Uberpriife ob der Stick wirklich „bootfahig“ ist. Fiih- 
re erneut die Schritte zum „Brennen“ des USB-Sticks 
durch. Es geniigt nicht, die Dateien auf den Stick zu 
„kopieren“. 


Mac booten 

Beim Hochfahren eures Macs miisst ihr die Alt-Taste 
oder die C-Taste gedriickt halten, damit anschlieBend die 
Tails-DVD als Startmedium bestimmt wird (off wird sie 
falschlicherweise als Windows-CD angezeigt). Alternativ 
konnt ihr sie auch unter „Systemeinstellungen ► Startvolu- 
me“ auswahlen. Bei Mac-Laptops ist das Track-Pad unter 
Tails off nicht richtig nutzbar. In diesem Fall hilff eine ex¬ 
terne USB-Maus. 


66 Einfach durch Test an einem anderen Computer zu iiberpriifen! 
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Es ist immer noch so, dass harte Verschliisselungstechni- 
ken (bei ausreichender Schliissellange) „nicht knackbar“ 
sind, bzw der Rechenaufwand fur Geheimdienste dazu 
gigantisch hoch ist. 

Hauptangriffspunkt, um an verschliisselte Daten zu kom- 
men, ist daher meist das verwendete Passwort, mit dem 
z.B. ein Schliissel gesichert ist. Mit bereits im Einzelhandel 
erhaltlichen Computern, die leistungsfahige Grafikchips 
fur einfache Rechenoperationen nutzen, ist das Knacken 
von Passwortern fur Angreifer*innen immer einfacher 
geworden. Eine Mischung aus simpler Rechenleistung, 
riesigen Tabellen bereits geknackter Passworter und cle¬ 
ver programmierter Software macht das Passwort-Kna- 
cken erschreckend effizient. Daher kommt der richtigen 
Passwortwahl eine wichtige Bedeutung zu. 


ERSTENS: Je„unmenschlicher" desto besser 

Rein mathematisch sieht die Lage fur uns Passwort-Nut- 
zer*innen gar nicht schlecht aus. Die Zahl aller mogli- 
chen Passworter wachst exponentiell mit deren Lange 
und der GroBe des verwendeten Zeichenraums. Diese 
muss eine Angreifer*in im Prinzip durchprobieren (Brute 
Force-Methode) y oder aber die Verschliisselung zur Abla- 
ge der Schliissel auf dem Computer knacken. 

Fast alle Angriffe basieren mittlerweile aufWdr- 
terbiichern und Namenslisten erweitert um rie- 
sige, gehackte Datenbanken mit mehreren 100 
Millionen Passwortern . 


Die Programme zum Knacken von Passwortern nutzen 
dariiber hinaus zusatzliche „Regeln“ zur Modifizierung 
solcher Worter und orientieren sich dabei an „mensch- 
lichen ( Mustern der Veranderung. Die Kombination von 
Wortern sowie das Anhangen von Ziffern und insbeson- 
dere die Ersetzung einzelner Buchstaben , wie das iibliche 
„3“ statt „E“ oder „1“ statt „i“ oder stellen fur diese 
Programme kein Problem dar. Dariiber werden selbst 
sicher aussehende Passworter wie „polU09*&llnk3dln“ 
geknackt. 


ZWEITENS: Kein Wort fur viele Zwecke 

Neben der Komplexitat des verwendeten Passworts ent- 
scheidet die Art wie es auf eurem Rechner, beim Mail-An- 
bieter oder Online-Shops abgelegt ist fiber dessen Sicher- 
heit. 

Kein System sollte Nutzer*Innen-Passworter im Klartext 
speichern. Aber die Verschliisselungsmethoden fur die 
Ablage von Passwortern sind unterschiedlich gut. Beim 
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eigenen Rechner haben wir bedingt Einfluss darauf, wie 
leicht unsere Passworter zu rekonstruieren sind. Bei ir- 
gendwelchen Diensten im Internet miissen wir (haufig zu 
Unrecht) darauf vertrauen, dass damit sorgsam umge- 
gangen wird. Millionen geklauter Kundendaten inklusive 
Passworter von unterschiedlichen Service-Anbietern sind 
eindeutiger und dringender Appell, das dort verwendete 
Passwort nicht identisch fur andere, sensiblere Zwecke zu 
nutzen! 

Vollstdndig zufdllige Passworter mit mehr als 
16 Zeichen gelten auf absehbare Zeit als sicker: 
Sogar bei Verwendung von Supercomputern - 
aber sie sind auch sehr schwer zu merken. Daher 
verwenden viele vermeintlich individuelle Kom- 
binationen, Abkiirzungen und Veranderungen 
existierender Worte. Das macht Passworter an- 
greifbar. 

Nun habt ihr wahrscheinlich Probleme, moglichst lange 
und komplexe Passworter fur jeden genutzten Dienst er- 
zeugt zu haben, aber merken konnt ihr euch davon bes- 
tenfalls drei oder vier. Die einen nutzen daher spezielle 
Programme wie KeePassX (in Tails), die Passworter in 
einer sicheren Datei abspeichern und miissen sich daher 
nur ein Master-Passwort merken. Andere nutzen lieber 
mehrere Basis-Passworter, aus denen sie dann verschie- 
dene Varianten generieren. Welche Methode ist siche- 
rer? An der Frage scheiden sich die Geister. Wir wollen 
euch beide Moglichkeiten vorstellen, entscheiden miisst 
ihr. 

Methode I: Verschliisselte Passwort-Datei 

Alle verwendeten Passworter werden in einer zentralen, 
verschlusselten Datei gespeichert. Dies hat den Vorteil, 
sich nur ein Passwort merken zu miissen. So konnen fur 
alle anderen genutzten Dienste oder Programme auch 
moglichst sichere und unabhangig voneinander gene- 
rierte Passworter genutzt werden. Aber diese Variante hat 
auch klare Nachteile. Zum einen seid ihr von der einen 
Datei oder dem einen Programm abhangig. Geht diese 
verloren oder ihr vergesst das Passwort, verliert ihr da¬ 
mit im Zweifel auch den Zugriff auf alle damit gesicherten 
Dienste. Das andere groBe Problem bei dieser Variante 
ist, wenn jemand an dieses eine Master-Passwort heran- 
kommt, z.B. fiber einen eingeschleusten Keylogger 67 , hat 
die Person gleichzeitig Zugriff auf alle anderen Passwor¬ 
ter! 


67 Ein Keylogger zeichnet jeden Tastenanschlag der Tastatur auf und 
kann somit auch eure Passworter mitprotokollieren. Ein Keylogger 
kann eingeschleuste Schadsoftware oder aber auch ein nachtraglich in 
die Tastatur oder am Verbindungskabel eingebauter Chip sein. Gegen 
letztere Varianten schiitzt Tails nicht! 


Um KeePassX zu starten, wahlt ihr: Anwendungen ► Zu- 
behor ► KeePassX. 

Um eine neue Passwortdatenbank zu erstellen, wahlt ihr 
Datei ► Neue Datenbank. Die Passwortdatenbank ist ver- 
schliisselt und durch eine Passphrase geschiitzt. Dazu gebt 
ihr eine Passphrase eurer Wahl in das Textfeld Passwort 
ein (mindestens 16 Zeichen!) und klickt anschlieBend auf 
OK Wiederholt die gleiche Passphrase im nachsten Dia¬ 
log und klickt dann auf OK Das Programm bietet euch 
ebenfalls an, starke Passworter (fiber einen Zufallszahlen- 
generator) zu erstellen. Zusatzlich bietet KeyPassX, eine 
Schlilsseldatei auszuwahlen, ohne die sich die Datenbank 
nicht verwenden lasst. 

Um die Passwortdatenbank fur die zukiinftige Verwen¬ 
dung auf einem Datentrager zu speichern, klickt ihr auf 
Datei ► Datenbank speichern. 

Methode II: Individuelle Gedachtnisstiitze 

Ihr merkt euch eine zufallig gewahlte Seite eines euch be- 
kannten Buches und denkt euch daraus ein efiktive Scha- 
blone aus, die verschiedene Buchstaben eines Satzes oder 
eine Abschnitts auf dieser Seite markiert. Verandert dann 
das so entstehende Wort durch das Einfiigen von Ziffern 
und Sonderzeichen und das Anhangen weiterer Worte. 

Ein praktisches Beispiel: Ich merke mir den Namen ei¬ 
nes mir in Erinnerung bleibenden Buches und die Seite 
373. Auf dieser Seite finde ich den Satz „Er wollte sich mir 
nicht anvertrauen - und jetzt ist es zu spat. “ Daraus bastle 
ich die Basis meines Passworts aus den Anfangsbuchsta- 
ben Ewsmna-Ujiezs. Dieses Basis-Passwort verwende 
ich nirgendwo. Ich nutze lediglich zwei verschiedene Ab- 
leitungen davon fur unterschiedliche Zwecke. Variante 
eins (die Ziffern der Seitenzahl an ihrer jeweiligen Po- 
sitionen eingefugt) fur den Zugang zu meinem privaten 
pgp-key: Ews3mna7-Uji3ezs sowie Variante zwei (373 -> 
§/§ auf einer deutschen Tastatur) fur das Entschliisseln 
meiner Festplatte: Ew§/§smna-Ujiezs_against_the_em- 
pire. 

Dies ist u.a. vor dem Hintergrund der gesetzlich gedeck- 
ten Praxis zur Herausgabe von Passwortern an Sicher- 
heitsbehorden durch Diensteanbieter absolut notwendig! 

Verwendet ein solches Basispasswort zum „Er- 
zeugen ( weiterer Passworter nur fur die gleiche 
„Klasse“ von Passwortern . Also Passworter fur 
pgp, Datentragerverschliisselung nicht mischen 
mit solchen fur ebay, amazon . 

Diese Methode hat jedoch den Nachteil, dass sich liber 
die selbst ausgedachten Varianten des Basis-Passworts 
zwangslaufig menschliche „Muster cc einschleichen, die es 
eigentlich zu vermeiden gilt. 







Uberschatzt euch nicht bei der Wahl eines zu komplexen 
Passworts. Gelingt euch die Rekonstruktion des Passwort 
iiber die Gedachtnisstiitze nicht bleiben die Daten fur 
euch immer unzuganglich. 

Es gibt keine 100%ige Sicherheit bei der Auswahl des 
„richtigen“ Passworts. Und es wird, wie ihr in der Ergan- 
zung im nachsten Abschnitt lesen konnt, noch kompli- 
zierter, wenn ihr den technischen Fortschritt mitzube- 
riicksichtigen versucht. Letztendlich miisst ihr zwischen 
Sicherheit und Nutzbarkeit abwagen und selbstandig 
entscheiden, was ihr euch zutraut und euren Bediirfnis- 
sen nach Sicherheit im Alltagsgebrauch am Nachsten 
kommt. 

Hier nochmal kurz das Wichtigste zusammengefasst: 

• Verwendet auf keinen Fall dieselben Passworter fur 
mehrere Zugange. Also nicht fur euer Mail-Post- 
fach oder euer ebay-Konto dasselbe Passwort ver- 
wenden wie fur den Zugang zu eurem Rechner. 

• Hangt nicht einfach eine Zahlenkombination an 
ein existierendes Wort. 

• Verwendet keine einfachen Buchstabenersetzun- 
gen wie m!s3r4b3| 4- (MISERABEL). 

• Auch keine einfache Zusammensetzung von (leicht 
veranderten) Wortern. 

• Entscheidet euch fur eine der beiden Varianten: 
Merken oder verschliisseltes Speichern eurer Pass¬ 
worter. Notizen auf Zettel sind dabei eine sehr 
schlechte Alternative. 

• Eine sogenannte Passphrase (komplexeres Pass¬ 
wort) fiir die Nutzung eures privaten PGP-Schliis- 
sel , oder die Datentragerverschliisselung sollte 
tatsachlich langer und komplexer sein als ein (ein- 
faches) Passwort fur euren Mail-Account. Um auch 
zukiinffig noch auf der sicheren Seite zu stehen, 
sollte sie mindestens 16 Zeichen lang sein. 

• Wechselt eure Passworter regelmaBig, je offer, des- 
to besser. 


DRITTENS: In Zukunft unsicher 

Wir wollen nicht in die Details kryptografischer Metho- 
den verschiedener Verschliisselungs-Algorithmen gehen. 
Nur so viel - die Sicherheit wichtiger Verschliisselungs- 
verfahren (wie z.B. pgp) basiert auf der Zerlegung sehr 
grofier Zahlen in sogenannte Primfaktoren. Wahrend das 
Uberpriifen, ob ein privater und ein offentlicher Schliissel 
zusammenpassen eine leichte Aufgabe ist, stellt das Auf- 
finden eines zum offentlichen passenden privaten Schliis- 
sels eine extrem rechenintensive Aufgabe dar. Klassische 
Computer miissen schlicht alle moglichen Paare von 
Primfaktoren durchprobieren. Der Aufwand, eine solche 
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Verschliisselung (mit klassischen Computern) zu knacken, 
wachst exponentiell mit der Schlussellange. 


Moore's Gesetz 

Etwa alle 2 Jahre verdoppelt sich die Leistung neuer Com- 
puterchips. Das hat mit einer immer noch fortschreiten- 
den Miniaturisierung klassischer Schaltkreise in diesen 
Chips zu tun. Obwohl diese Entwicklung an physikalische 
Grenzen stofien wird, sagen Chipentwickler*innen eine 
Gultigkeit dieses „Gesetzes cc bis etwa 2020 voraus. Das 
gefahrdet die Sicherheit der Verschliisselung mit Schliisseln 
mit einer Lange von (weniger als) 4096 Bit. Bis dahin droht 
jedoch ein weiteres Problem: 


Quantencomputer 

Den zur Primfaktor-Zerlegung notwendige Algorithmus 
hat Peter Shor bereits 1994 (ohne die zugehorige Hard¬ 
ware) entwickelt. Der Rechenaufwand dieses Quantenal- 
gorithmus wachst nicht mehr exponentiell mit der 
Schlussellange. Daher reicht es auch nicht aus, die ver- 
wendete Schlussellange zu vergrofiern. Die Entschliisse- 
lung bleibt auch dann ein fiir Quantencomputer losbares 
Problem. Es miissten dann neue Verschliisselungsmetho- 
den eingesetzt werden. 

Sollte in einigen Jahren die Hardware fiir uni- 
verselle Quantencomputer mit ausreichend vie- 
len Quantenbits entwickelt werden, sind auf- 
gezeichnete Daten trotz Verschliisselung auch 
riickwirkend lesbar. 


Es klingt zunachst akademisch, hat aber handfeste Kon- 
sequenzen fiir die Sicherheit wirklich sensibler Daten, die 
ihr z.B. auf einem verschliisselten USB-Stick ablegt. Sind 
diese Daten auch in zehn Jahren noch vor unerwiinsch- 
tem Zugriff sicher? Stellt euch vor, dass eine Behorde oder 
jemand anderes vor fiinf Jahren eine Kopie eines ver¬ 
schliisselten Datentragers oder einer verschliisselten Mail 
angefertigt hat. Diese Verschliisselung mag zwar vor fiinf 
Jahren „sicher“ gewesen sein. Sie konnte aber mit deutli- 
chem Zuwachs an gebiindelter Hardware und intelligen- 
terer Software in absehbarer Zukunft zu knacken sein! 

LJberlegt gut, welche Daten iiberhaupt (selbst 
verschliisselt) auf der Festplatte eures Alltags- 
rechners, per Mail oder iiber Filesharing-Diens- 
te bei den Schniiffelbehorden landen diirfen! 

J 
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